Čak 60 malicioznih npm paketa otkriveno je u registru paketa sa malicioznih funkcionalnošću za prikupljanje imena hostova, IP adresa, DNS servera i korisničkih direktorija za endpoints koju kontroliše Discord.
Paketi, objavljeni pod tri različita računa, dolaze sa skriptom za vrijeme instalacije koja se pokreće tokom npm instalacije, rekao je istraživač sigurnosti Socketa Kirill Boychenko u izvještaju objavljenom prošle sedmice. Biblioteke su zajedno preuzete preko 3.000 puta.
„Skripta cilja Windows, macOS ili Linux sisteme i uključuje osnovne provjere izbjegavanja sandboxa, što svaku zaraženu radnu stanicu ili čvor za kontinuiranu integraciju čini potencijalnim izvorom vrijednog izviđanja“, saopštila je firma za sigurnost softverskog lanca snabdijevanja .
Imena tri računa, od kojih je svaki objavio 20 paketa u roku od 11 dana, navedena su u nastavku. Računi više ne postoje na npm-u –
- bbbb335656
- cdsfdfafd1232436437 i
- sdsds656565
Maliciozni kod, prema Socketu, je eksplicitno dizajniran da otisne otisak svake mašine koja instalira paket, a istovremeno prekida izvršavanje ako otkrije da se paket izvršava u virtualizovanom okruženju povezanom sa Amazonom, Googleom i drugima.
Prikupljene informacije, koje uključuju detalje o hostu, DNS servere sistema, informacije o mrežnoj kartici (NIC) i interne i eksterne IP adrese, zatim se prenose na Discord webhook.
„Prikupljanjem internih i eksternih IP adresa, DNS servera, korisničkih imena i putanja projekata, omogućava se akteru prijetnje da mapira mrežu i identificira visokovrijedne ciljeve za buduće kampanje“, rekao je Boychenko.
Ovo otkrivanje slijedi nakon još jednog seta od osam npm paketa koji se maskiraju kao pomoćne biblioteke za široko korištene JavaScript okvire, uključujući React, Vue.js, Vite, Node.js i Quill Editor otvorenog koda, ali implementiraju destruktivne korisne podatke nakon instalacije. Preuzeti su više od 6.200 puta i još uvijek su dostupni za preuzimanje iz repozitorija –
- vite-plugin-vue-extend
- program za preuzimanje slika s pera
- js-hood
- js-bomba
- vue-plugin-bomb
- vite-plugin-bomb
- vite-plugin-bomb-extend i
- vite-plugin-react-extend
„Maskirani kao legitimni dodaci i uslužni programi, dok su tajno sadržavali destruktivne korisne sadržaje dizajnirane za oštećenje podataka, brisanje kritičnih datoteka i rušenje sistema, ovi paketi su ostali neotkriveni“, rekao je istraživač sigurnosti Socketa Kush Pandya .
Utvrđeno je da se neki od identifikovani paketa automatski izvršavaju nakon što ih programeri pozovu u svojim projektima, omogućavajući rekurzivno brisanje datoteka povezanih s Vue.js, React i Vite. Drugi su dizajnirani da ili oštete osnovne JavaScript metode ili da manipulišu mehanizmima pohrane u pregledniku poput localStorage, sessionStorage i kolačića.
Još jedan paket vrijedan pažnje je js-bomb, koji ide dalje od brisanja datoteka Vue.js okvira tako što inicira gašenje sistema na osnovu trenutnog vremena izvršavanja.
Aktivnost je praćena do hakera po imenu xuxingfeng , koji je takođe objavio pet legitimnih, ne-malicioznih paketa koji rade kako je predviđeno. Neki od lažnih paketa objavljeni su 2023. godine. “Ovaj dvostruki pristup objavljivanju i štetnih i korisnih paketa stvara fasadu legitimnosti koja čini maliciozne pakete vjerovatnijima za pouzdanje i instaliranje”, rekao je Pandya.
Nalazi takođe slijede otkriće nove napadačke kampanje koja kombinuje tradicionalno phishing putem e-pošte s JavaScript kodom koji je dio malicizonog npm paketa prikrivenog kao benigna biblioteka otvorenog koda.
„Nakon što je komunikacija uspostavljena, paket je učitavao i isporučivao skriptu druge faze koja je prilagođavala phishing linkove koristeći adresu e-pošte žrtve, vodeći ih do lažne stranice za prijavu na Office 365 dizajnirane da ukrade njihove vjerodajnice“, rekao je istraživač Fortre Israel Cerda .
Početna tačka napada je phishing e-mail koji sadrži zlonamjernu .HTM datoteku, koja uključuje šifrirani JavaScript kod hostovan na jsDelivr-u i povezan sa sada uklonjenim npm paketom pod nazivom citiycar8 . Nakon instalacije, JavaScript sadržaj ugrađen u paket koristi se za pokretanje lanca preusmjeravanja URL-ova koji na kraju vodi korisnika do lažne odredišne stranice dizajnirane za hvatanje njihovih vjerodajnica.
„Ovaj phishing napad pokazuje visok nivo sofisticiranosti, pri čemu hakaru povezuju tehnologije poput AES enkripcije, npm paketa isporučenih putem CDN-a i višestrukih preusmjeravanja kako bi prikrili svoje maliciozne namjere“, rekao je Cerda.
“Napad ne samo da ilustruje kreativne načine na koje napadači pokušavaju izbjeći otkrivanje, već i naglašava važnost budnosti u stalno promjenjivom landscape prijetnji cyber sigurnosti.”
Iskorištavanje repozitorija otvorenog koda za distribuciju malicioznog softvera postala je provjereni pristup za provođenje napada na lanac snabdijevanja u velikim razmjerima. Posljednjih sedmica, maliciozna proširenja za krađu podataka otkrivena su i u Microsoftovom Visual Studio Code (VS Code) Marketplaceu, a dizajnirana su za krađu podataka za kriptovalute tako što ciljaju Solidity programere na Windowsu.
Datadog Security Research je pripisao aktivnost hakeru kojeg prate kao MUT-9332. Nazivi ekstenzija su sljedeći –
- solaibot
- među-etima i
- blankebesxstnion
„Ekstenzije se maskiraju kao legitimne, skrivajući štetni kod unutar originalnih funkcija i koriste komandne i kontrolne domene koje izgledaju relevantne za Solidity i koje se obično ne bi označile kao zlonamjerne“, rekli su istraživači Datadoga .
“Sve tri ekstenzije koriste složene lance infekcije koji uključuju više faza obfusiranog malicioznog softvera, uključujući i onaj koji koristi korisni teret skriven unutar slikovne datoteke koja se nalazi na Internet Archiveu.”
Konkretno, ekstenzije su reklamirane kao one koje nude skeniranje sintakse i otkrivanje ranjivosti za Solidity programere. Iako nude originalnu funkcionalnost, ekstenzije su takođe dizajnirane da isporuče maliciozne podatke koji kradu kredencijale kriptovaluta sa zaraženih Windows sistema. Tri ekstenzije su od tada uklonjene.
Krajnji cilj VS Code ekstenzije je ubacivanje maliciozne ekstenzije za pretreživač zasnovane na Chromiumu koja je sposobna da ukrade Ethereum novčanike i procuri ih do komandno-kontrolne (C2) krajnje tačke.
Takođe je opremljen za instaliranje zasebne izvršne datoteke koja onemogućava skeniranje Windows Defendera, skenira direktorije podataka aplikacija za Discord, preglednike bazirane na Chromiumu, kripto novčanike i Electron aplikacije, te preuzima i izvršava dodatni korisni teret sa udaljenog servera.
Procjenjuje se i da MUT-9332 stoji iza nedavno otkrivene kampanje koja je uključivala korištenje 10 malicioznih VS Code ekstenzija za instaliranje XMRig kriptorudara, predstavljajući se kao alati za kodiranje ili umjetnu inteligenciju (AI).
„Ova kampanja pokazuje iznenađujuće i kreativne dužine do kojih je MUT-9332 spreman ići kada je u pitanju prikrivanje svojih zlonamjernih namjera“, rekao je Datadog. „Ova ažuriranja sadržaja ukazuju na to da će se ova kampanja vjerovatno nastaviti, a otkrivanje i uklanjanje ove prve serije malicioznih VS Code ekstenzija moglo bi potaknuti MUT-9332 da promijeni taktiku u narednim kampanjama.“
Izvor:The Hacker News
