10 выяўленых шкоднасных NPM-пакетаў: трывожны званок Software Supply Chain Security

Адна ўразлівасць, адзінокі шкоднасны пакет, схаваны сярод мільёнаў, можа паставіць пад пагрозу бяспеку незлічоных праграм, паставіўшы пад пагрозу як бізнес-аперацыі, так і прыватнасць карыстальнікаў. Менавіта ў гэтым нестабільным асяроддзі наша каманда ў Xygeni распачала аперацыю па забеспячэнні бяспекі, выявіўшы суровую рэальнасць, якой многія баяліся, але мала хто мог пацвердзіць: прысутнасць шкоднасных NPM-пакетаў у самым цэнтры нашай лічбавай экасістэмы.

З 13 па 15 студзеня 2024 года наша запатэнтаванае сканаванне на выяўленне шкоднаснага кода прабіла заслону нармальнасці, выявіўшы не адзін, а дзесяць падступных пакетаў NPM. Гэта былі не выпадковыя злачынствы, а кампаніі, кожная з якіх была распрацавана для выкрадання канфідэнцыйных дадзеных у цёмныя куткі Інтэрнэту. Гэта адкрыццё — не проста сігнал трывогі; гэта гучны заклік да дзеяння для ўсіх зацікаўленых бакоў у працэсе распрацоўкі праграмнага забеспячэння.

Як піянеры ў галіне кібербяспекі, Xygeni мае унікальную выгадную пазіцыю, якая дазваляе нам не толькі выяўляць гэтыя пагрозы, але і глыбока разумець іх наступствы. Гэты даклад з'яўляецца сведчаннем нашага commitмент для абароны лічбавых межаў выяўлення шкоднасных доказаў у кодзе, каб пазбегнуць канверсіі ў будучых атаках.

Далучайцеся да нас, каб паглыбіцца ў складаныя дэталі гэтых кампаній, раскрыць метады зламыснікаў і, самае галоўнае, праліць святло на тое, як бізнес можа ўмацаваць сваю абарону ад такіх падступных пагроз.

Першапачатковае выяўленне: узлом Aurora Webmail Pro

Першым адкрыццём у нашым расследаванні стаў пакет пад назвай aurora-webmail-pro, які быў загружаны ў рэестр NPM карыстальнікам з псеўданімам 0x379cНеўзабаве пасля гэтага адкрыцця былі выяўлены яшчэ чатыры пакеты, усе загружаныя адным і тым жа аўтарам, перш чым іх дзейнасць была спынена мерамі бяспекі рэестра.

Гэтыя пакеты ўключалі блог_2021@1.1.1, heatwallet@10.1.1, newbooking@1.1.1, і pecko@1.0.1Пасля праверкі быў выяўлены ў кожным пакеце вельмі падобны шкоднасны код, накіраваны на крадзеж канфідэнцыйнай інфармацыі карыстальніка.

Пакеты NPM

Праграма аднаўляе канфідэнцыйную сістэмную інфармацыю адносна карыстальніка і сістэмы і стварае шаснаццатковы дамп з гэтымі дадзенымі. Затым дадзеныя перабіраюцца, і для кожнага фрагмента робіцца запыт GET да знешняга сайта, дзе шляхам доступу з'яўляецца кожны з пабудаваных фрагментаў.

Другаснае раскрыццё: розныя тактыкі распаўсюджвання шкоднаснага кода

Адначасова з выяўленнем першай партыі, наша расследаванне выявіла чатыры дадатковыя пакеты NPM, размеркаваныя па рэестры трыма рознымі карыстальнікамі. 

Гэтыя пакеты, пералічаныя як anyone-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2, і synology-cft@10.0.0мелі агульную нітку ў сваёй кодавай базе — кожны быў распрацаваны для высмоктвання інфармацыі карыстальнікаў. Прыкметна, што метад, які выкарыстоўваўся для выцягвання дадзеных у гэтых выпадках, адрозніваўся ад метаду першай групы, што намякала на асобную, хоць і не менш зламысную, кампанію.

Другаснае раскрыццё: розныя тактыкі распаўсюджвання шкоднаснага кода

Стратэгія гэтай другой кампаніі прадугледжвала больш прамы падыход да збору канфідэнцыйных дадзеных. Пасля актывацыі шкоднасны код у гэтых пакетах пачынаў дбайную разведку, здабываючы падрабязную інфармацыю аб канфігурацыі сістэмы карыстальніка, асабістых дадзеных карыстальніка і, у прыватнасці, IP-адрасе сістэмы. Гэты комплексны збор дадзеных быў накіраваны на стварэнне поўнага дасье на ахвяру, што стварыла ўмовы для патэнцыйна больш глыбокіх узломаў або мэтанакіраваных атак.

Важна падкрэсліць, што, нягледзячы на ​​патэнцыял гэтых пакетаў маскіруцца пад законныя даследаванні ў галіне бяспекі, такія як выяўленне ўразлівасцяў з дапамогай тактыкі блытаніны залежнасцей, рэальнасць застаецца нязменнай. Гэтыя пакеты цалкам могуць быць распрацаваны са злым намерам, таемна збіраючы і перадаючы канфідэнцыйныя дадзеныя несанкцыянаваным знешнім асобам.

Спецыяльнае папярэджанне: анамалія djs13-fetcher і яе наступствы для кібербяспекі

Падчас праверкі вышэйзгаданых пакетаў наша платформа выявіла дадатковую анамалію: пакет пад назвай djs13-fetcherГэтае канкрэтнае адкрыццё адрозніваецца ад папярэдніх выпадкаў не толькі метадам дзеяння, але і характарам пагрозы, якую яно ўяўляе. djs13-fetcher быў ідэнтыфікаваны як ініцыятар загрузкі і паслядоўнасці выканання для ўкладання з Discord, у прыватнасці, двайковага файла пад назвай astroia.exeПасля больш уважлівага вывучэння з дапамогай аўтаматызаванай службы аналізу гэты бінарны файл атрымаў Ацэнка пагрозы 85/100, рэйтынг, які адназначна класіфікуе яго як шкоднаснае праграмнае забеспячэнне.

Спецыяльнае папярэджанне: анамалія djs13-fetcher і яе наступствы для кібербяспекі

Аперацыя djs13-fetcher і наступнае выкананне astroia.exe падкрэсліваюць складаны і шматгранны вектар пагрозы. Разгляданы бінарны файл быў распрацаваны для выканання серыі дзеянняў, якія сведчаць пра глыбока ўкаранёны зламысны намер:

  • Працэсы сістэмы нерастуШкоднаснае праграмнае забеспячэнне запускае некалькі сістэмных працэсаў пасля выканання, метад, які часта выкарыстоўваецца для выканання далейшых шкоднасных скрыптоў або для ўмацавання заражанай сістэмы для атрымання дадатковых карысных нагрузак.
  • Запыт сістэмнай інфармацыіЁн выконвае шырокія запыты сістэмнай інфармацыі. Гэта дзеянне звычайна накіравана на збор разведвальных дадзеных аб сістэмным асяроддзі, якія можна выкарыстоўваць для адаптацыі наступных атак да канкрэтных уразлівасцей сістэмы.
  • Выкананне манеўраў ухіленняМагчыма, найбольш прыкметным з'яўляецца тое, што astroia.exe быў распрацаваны для выканання запытаў інструментара кіравання Windows (WMI), каб вызначыць, ці працуе ён у віртуальнай машыне (VM). Гэтая паводзіны з'яўляецца відавочным манеўрам, прызначаным для таго, каб пазбегнуць выяўлення і аналізу спецыялістамі па кібербяспецы і аўтаматызаванымі сістэмамі, якія звычайна выкарыстоўваюць віртуальныя машыны для аналізу шкоднасных праграм.

Ключавыя вынасы

Выяўленне гэтых 10 шкоднасных NPM-пакетаў, а таксама асаблівы выпадак djs13-fetcher, падкрэслівае крытычную неабходнасць пільнасці і праактыўных мер па абароне нашых ланцужкоў паставак праграмнага забеспячэння. 

Гэтая рэальнасць вылучае незаменную ролю службы ранняга папярэджання Xygeni. Распрацаваная для аналізу і папярэджання аб патэнцыйных пагрозах у новых пакетах NPM адразу пасля іх публікацыі, наша служба ўяўляе сабой значны крок наперад у праактыўнай кіберабароне. Забяспечваючы ранняе выяўленне прыкметных сігналаў шкоднаснасці — значна раней, чым... standard працэдуры — мы даем нашым кліентам магчымасць абараніць свае праграмныя экасістэмы ад патэнцыйнага пранікнення шкоднасных праграм, перш чым яны змогуць прычыніць шкоду.

Арганізацыі павінны надаць прыярытэт укараненню надзейных пратаколаў бяспекі, ад рэгулярных праверак кода да складаных інструментаў выяўлення, каб абараніцца ад складанай тактыкі, якую выкарыстоўваюць кіберзлачынцы. У Xygeni мы па-ранейшаму commitабавязаны ўзначаліць гэтую няспынную барацьбу, забяспечваючы нашых партнёраў і шырэйшую супольнасць ведамі і інструментамі, неабходнымі для барацьбы з гэтымі падступнымі пагрозамі.

Разам, развіваючы культуру ўважлівасці да бяспекі і супрацоўніцтва, мы можам умацаваць нашу абарону і забяспечыць цэласнасць нашых лічбавых экасістэм на доўгія гады.

інструменты-для-аналізу-складання-праграмнага ...
Прыярытэзуйце, ліквідуйце і абараняйце свае праграмныя рызыкі
Атрымайце свой бясплатны рахунак.
Не патрабуецца крэдытная карта.

Забяспечце распрацоўку і пастаўку праграмнага забеспячэння

з пакетам прадуктаў Xygeni