Nova sofisticirana fišing kampanja završila je isporukom malvera putem popularnih NPM paketa, nakon što su nalozi njihovih održavalaca kompromitovani.
Kako je prvi put objavljeno prošle nedjelje, napadi počinju fišing imejlom koji koristi tehniku typosquatting kako bi oponašao Node.js registar paketa.
Napadači su kreirali kompletnu kopiju NPM veb-sajta na adresi ‘npnjs.com’ i koristili je za slanje legitimno izgledajućih imejlova brojnim programerima, pozivajući ih da unesu svoje pristupne podatke.
Ti imejlovi su sadržali tokenizovane URL-ove, koji napadačima omogućavaju da prate klikove, unaprijed popune podatke žrtve na fišing sajtu, ili generišu lažne sesije koje imitiraju NPM proces prijave. Poruke su takođe sadržavale i podršku koja vodi na legitimni npmjs.com sajt.
Nedugo nakon što je bezbjednosna firma Socket označila jedan takav fišing imejl poslat održavaocu paketa koji zajedno bilježe 34 miliona preuzimanja sedmično, prijavljeno je da su više popularnih NPM paketa kompromitovani kao dio te kampanje.
Maliciozne verzije tih paketa – uključujući eslint-config-prettier, eslint-plugin-prettier, napi-postinstall, @pkgr/core i synckit – koje su objavljene na registru bez odgovarajućih commit-ova na GitHub-u, pokušavale su da izvrše maliciozni DLL na Windows sistemima.
„Održavalac je potvrdio da mu je NPM token kompromitovan putem fišing imejla sa npnjs.com. Napadači su iskoristili ukradene pristupne podatke da objave maliciozne verzije više paketa bez izmjena na GitHub repozitorijumu, čineći napad teže uočljivim“, navodi Socket.
Prettier i ESLint integracije koriste se u hiljadama projekata, pa bi posljedice ovog kompromitovanja mogle biti razorne, s obzirom na to da je instalirani malver navodno teško ukloniti.
Nedugo zatim, softverski inženjer Jordan Harband upozorio je da je i is paket, koji ima preko 2 miliona sedmičnih preuzimanja, takođe kompromitovan. Pošto je potpuno višeplatformski, može da radi na Windows-u, Linux-u i macOS-u, što sugeriše da su napadači željeli dodatno da prošire svoj domet.
„Stari vlasnik je nekako uklonjen sa NPM paketa i poslao mi je mejl da ga ponovo dodam. Sve je djelovalo normalno, pa sam to i učinio (bio sam iritiran što je NPM uklonio vlasnika bez obavještavanja ostalih), a već narednog jutra objavljena je ova verzija“, objasnio je on.
Paket got-fetch, koji ima više od 20.000 sedmičnih preuzimanja, takođe je bio kompromitovan u okviru iste kampanje, kaže Socket.
Prema riječima osnivača i izvršnog direktora DeceptIQ-a, Rada Kawara, napadači su vjerovatno izvukli mejl adrese programera iz metapodataka paketa, postavili potrebnu infrastrukturu i izgradili loader i alat za krađu akreditiva, koji su korišćeni u napadu na lanac snabdijevanja.
Kawar objašnjava da su napadači vjerovatno zloupotrijebili NPM mehanizam autentifikacije kako bi generisali linkove za prijavu i ukrali pristupne tokene koji ne ističu, ističući da programer nikada nije obaviješten da je token zatražen sa drugog uređaja.
Maliciozni kod ubačen u eslint-config-prettier bio je loader koji je pri izvršavanju paketa dovodio do instalacije Scavenger malvera, objašnjava kanadski sajber bezbjednosni startap Invoke RE.
Loader je kompajliran istog dana kada je maliciozni paket objavljen na registru i sadržao je brojne tehnike za izbjegavanje analize i detekcije.
Loader je pokušavao da preuzme payload sa svog command-and-control (C&C) servera, za koji se ispostavilo da je alat za krađu informacija usmjeren na pregledače bazirane na Chromium-u.
Nazvan Scavenger, ovaj malver prikuplja podatke o ekstenzijama pregledača, keširane podatke iz ServiceWorkerCache i DawnWebGPUCache, kao i istoriju pregledača. Navodno, može i da onemogući bezbjednosna upozorenja u Chrome-u.
Izvor: SecurityWeek