Istraživači cyber sigurnosti otkrili su nekoliko malicioznih paketa u npm registru za koje je pronađeno da se imitiraju kao Hardhat alat Nomic fondacije kako bi ukrali osjetljive podatke iz razvojnih sistema.
“Iskorištavanjem povjerenja u dodatke otvorenog koda, napadači su se infiltrirali na ove platforme kroz maliciozne npm pakete, eksfiltrirajući kritične podatke kao što su privatni ključevi, mnemonika i detalji o konfiguraciji”, navodi istraživački tim Socket-a u analizi.
Hardhat je razvojno okruženje za Ethereum softver, koje uključuje različite komponente za uređivanje, kompajliranje, otklanjanje grešaka i implementaciju pametnih ugovora i decentraliziranih aplikacija (dApps).
Lista identifikovanih falsifikovanih pakovanja je sledeća –
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- Installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- kripto-čvorovi-validator
- solana-validator
- node-validatori
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Od ovih paketa, @nomicsfoundation/sdk-test je privukao 1,092 preuzimanja. Objavljen je prije više od godinu dana u oktobru 2023. Jednom instalirani, dizajnirani su za prikupljanje mnemoničkih fraza i privatnih ključeva iz Hardhat okruženja, nakon čega se eksfiltriraju na server koji kontroliše napadač.
“Napad počinje kada se instaliraju kompromitovani paketi. Ovi paketi iskorištavaju Hardhat runtime okruženje koristeći funkcije kao što su hreInit() i hreConfig() za prikupljanje osjetljivih detalja poput privatnih ključeva, mnemonike i konfiguracijskih fajlova”, kažu iz kompanije.
“Prikupljeni podaci se prenose do krajnjih tačaka koje kontrolišu napadači, koristeći tvrdo kodirane ključeve i Ethereum adrese za pojednostavljenu eksfiltraciju.”
Otkrivanje dolazi nekoliko dana nakon otkrića drugog malicioznog npm paketa pod nazivom ethereumvulncontracthandler koji se maskira kao biblioteka za otkrivanje ranjivosti u Ethereum pametnim ugovorima, ali umjesto toga sadrži funkcionalnost za izbacivanje Quasar RAT malvera.
Poslednjih meseci primećeni su maliciozni npm paketi koji koriste Ethereum pametne ugovore za distribuciju adresa servera za komandu i kontrolu (C2), kooptiranjem zaraženih mašina u botnet koji pokreće blockchain pod nazivom MisakaNetwork. Kampanja je praćena do pretnji koje govore ruski po imenu “_lain”.
“Učesnik prijetnje ukazuje na inherentnu složenost npm ekosistema, gdje se paketi često oslanjaju na brojne zavisnosti, stvarajući složenu strukturu ‘gniježđene lutke'”, rekao je Socket .
“Ovaj lanac ovisnosti čini sveobuhvatne sigurnosne preglede izazovnim i otvara mogućnosti napadačima da uvedu maliciozni kod. _lain priznaje da je iskoristio ovu složenost i širenje ovisnosti u npm ekosistemima, znajući da je nepraktično za programere da pomno ispituju svaki pojedinačni paket i ovisnost.”
To nije sve. Utvrđeno je da skup lažnih biblioteka otkrivenih u npm, PyPI i RubyGems ekosistemima koristi alate za testiranje sigurnosti aplikacija van opsega (OAST) kao što su oastify.com i oast.fun za eksfiltriranje osjetljivih podataka na servere koje kontroliraju napadači.
Nazivi paketa su sljedeći –
- adobe-dcapi-web (npm), koji izbjegava kompromitovanje Windows, Linux i macOS krajnjih tačaka koje se nalaze u Rusiji i dolazi s mogućnostima za prikupljanje sistemskih informacija
- monolit (PyPI), koji prikuplja sistemske metapodatke
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), koji sadrže ugrađene skripte dizajnirane za prijenos osjetljivih informacija putem DNS upita do krajnje točke oastify.com
“Isti alati i tehnike stvoreni za etičke procjene sigurnosti zloupotrebljavaju hakeri,” rekao je istraživač Socketa Kiril Boychenko . “Izvorno namijenjene otkrivanju ranjivosti u web aplikacijama, OAST metode se sve više iskorištavaju za krađu podataka, uspostavljanje komandnih i kontrolnih (C2) kanala i izvođenje višefaznih napada.”
Da bi se ublažili rizici u lancu nabavke koje predstavljaju takvi paketi, preporučuje se da programeri softvera provjere autentičnost paketa, budu oprezni pri kucanju naziva paketa i pregledaju izvorni kod prije instalacije.
Izvor:The Hacker News
