Istraživači cyber sigurnosti idefikovali su tri skupa maliciozna paketa u npm i Python Package Index (PyPI) repository koji dolaze sa mogućnostima krađe podataka, pa čak i brisanja osjetljivih podataka iz zaraženih sistema.
Spisak identifikovanih paketa:
- @async-mutex/mutex, a typosquat of async-mute (npm)
- dexscreener, koji se prerušava kao biblioteka za pristup date from decentralized exchanges (DEX) i interakciju sa platformom DEX Screener (npm)
- solana-transaction-toolkit (npm)
- solana-stable-web-huks (npm)
- cschokidar-next, a typosquat of chokidar (npm)
- achokidar-next, a typosquat of chokidar (npm)
- achalk-next, a typosquat of chalk (npm)
- csbchalk-next, a typosquat of chalk (npm)
- cschalk, a typosquat of chalk (npm)
- pycord-self, a typosquat of discord.py-self (PyPI)
Supply chain security kompanija Socket, koja je otkrila pakete, rekla je da su prva četiri paketa dizajnirano da intercept Solana privatne keys i prenesu ih preko Gmail-ovog Simple Mail Transfer Protocol ( SMTP ) servera s vjerovatnim ciljem da isprazne novčanike žrtava.
Posebno, paketi solana-transaction-toolkit i solana-stable-web-huks programski iscrpljuju novčanik, automatski prenoseći do 98% njegovog sadržaja na Solana adresu koju kontroliše napadač, dok tvrde da nude specifičnu funkcionalnost za Solana.
„Budući da je Gmail pouzdana usluga e-pošte, manje je vjerovatno da će ovi pokušaji eksfiltracije biti označeni zaštitnim firewalls ili sistemima za detekciju endpoints, koji tretiraju smtp.gmail.com kao legitiman saobraćaj“, rekao je istraživač sigurnosti Kirill Boychenko.
Socket je rekao da je takođe naišao na dva GitHub repositories koja su objavili hakeri koji stoje iza solana-transaction-toolkit-a i solana-stable-web-huks-a koji navodno sadrže Solana razvojne alate ili skripte za automatizaciju uobičajenih DeFi tokova rada, ali u stvarnosti uvoze maliciozni npm paketi hakere.
GitHub nalozi povezani sa ovim repositories, “moonshot-wif-hwan” i “Diveinprogramming”, više nisu dostupni.
“Skripta u GitHub repositories hakera, moonshot-wif-hwan/pumpfun-bump-script-bot, promovisao se kao bot za trading na Raydiumu, popularnom DEX-u baziranom na Solani, ali umjesto toga uvozi maliciozni kod sa Solana- paket stable-web-huks”, rekao je Bojčenko.
Upotreba malicioznih GitHub repositories ilustruje pokušaje napadača da pokrenu širu kampanju izvan npm-a ciljajući programere koji možda traže alate povezane sa Solanom na platformi za hosting koda u vlasništvu Microsofta.
Utvrđeno je da drugi set npm paketa podiže svoju malicioznu funkcionalnost na viši nivo tako što uključuje funkciju “kill switch” koja repositories briše sve datoteke u direktorijima specifičnim za projekt, uz eksfiltriranje varijabli okruženja na udaljeni server u nekim slučajevima .
Falsifikovani csbchalk-next paket funkcioniše identično verzijama chokidara sa otkucanim tekstom, jedina razlika je u tome što on pokreće operaciju brisanja podataka tek nakon što primi kod “202” od servera.
Pycord-self, s druge strane, izdvaja Python programere koji žele da integrišu Discord API-je u svoje projekte, hvatajući Discord tokene za autentifikaciju i povezujući se na server koji kontroliše napadač za stalnu backdoor pristupnu instalaciju na Windows i Linux sistemima.
Razvoj dolazi kada loši hakeri ciljaju korisnike Robloxa s lažnim bibliotekama dizajnisano da olakšaju krađu podataka koristeći maliciozni softver za krađu otvorenog koda kao što su Skuld i Blank-Grabber. Prošle godine, Imperva je otkrila da su Roblox igrači koji su u potrazi za varalicama i modovima za igre takođe bili na meti lažnih PyPI paketa koji ih prevare da preuzmu iste korisne sadržaje.
Izvor:The Hacker News