Una singola vulnerabilità, un unico pacchetto dannoso nascosto tra milioni, può compromettere la sicurezza di innumerevoli applicazioni, mettendo a repentaglio sia le operazioni aziendali che la privacy degli utenti. È in questo panorama precario che il nostro team di Xygeni ha intrapreso un’operazione di sicurezza, rivelando una cruda realtà che molti temevano ma pochi potevano confermare: la presenza di pacchetti NPM dannosi all’interno della spina dorsale del nostro ecosistema digitale.
Dal 13 al 15 gennaio 2024, la nostra scansione proprietaria Malicious Code Detection ha squarciato il velo della normalità, scoprendo non uno, ma dieci insidiosi pacchetti NPM. Non si trattava di atti illeciti casuali, ma di campagne, ciascuna ideata per esfiltrare dati sensibili negli angoli oscuri di Internet. Questa rivelazione non è solo un campanello d'allarme; è un chiaro invito all'azione per tutte le parti interessate nel processo di sviluppo del software.
In qualità di pionieri nella sicurezza informatica, l'esclusivo punto di vista di Xygeni ci consente non solo di rilevare queste minacce ma anche di comprenderne profondamente le implicazioni. Questo rapporto è una testimonianza della nostra commitmento alla salvaguardia della frontiera digitale del rilevamento di prove dannose nel codice per evitare la conversione in attacchi futuri.
Unisciti a noi mentre approfondiamo gli intricati dettagli di queste campagne, svelando i metodi degli aggressori e, soprattutto, facendo luce su come le aziende possono rafforzare le proprie difese contro minacce così insidiose.
Scoperta iniziale: violazione di Aurora Webmail Pro
La scoperta iniziale nella nostra indagine è stata il pacchetto denominato aurora-webmail-pro, che è stato caricato nel registro NPM da un utente con l'alias 0x379c. Questa scoperta è stata presto seguita dall'identificazione di altri quattro pacchetti, tutti caricati dallo stesso autore prima che le loro attività venissero bloccate dalle misure di sicurezza del registro.
Questi pacchetti inclusi blog_2021@1.1.1, portafogliocalore@10.1.1, nuovaprenotazione@1.1.1e peco@1.0.1. Dopo un esame, si è scoperto che ogni pacchetto conteneva un codice dannoso sorprendentemente simile volto a esfiltrare informazioni sensibili dell'utente.
Il programma recupera informazioni di sistema sensibili relative all'utente e al sistema e crea un hexdump con tali dati. Quindi i dati vengono iterati e per ogni blocco viene effettuata una richiesta GET a un sito esterno, dove il percorso a cui si accede è ciascuno dei blocchi costruiti.
Presentazione secondaria: diverse tattiche nella diffusione di codice dannoso
Contemporaneamente alla scoperta del batch iniziale, la nostra indagine ha rivelato quattro pacchetti NPM aggiuntivi, distribuiti nel registro da tre utenti distinti.
Questi pacchetti, elencati come chiunque-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2e synology-cft@10.0.0, condividevano un filo conduttore comune nella loro base di codice: ciascuno era progettato per sottrarre le informazioni dell'utente. In particolare, il metodo utilizzato per l’esfiltrazione dei dati in questi casi differiva da quello del primo gruppo, suggerendo una campagna separata, sebbene ugualmente nefasta.
La strategia di questa seconda campagna prevedeva un approccio più diretto alla raccolta di dati sensibili. Dopo l'attivazione, il codice dannoso contenuto in questi pacchetti ha intrapreso un'approfondita missione di ricognizione, estraendo informazioni dettagliate sulla configurazione del sistema dell'utente, sui dati personali dell'utente e, in particolare, sull'indirizzo IP del sistema. Questa raccolta completa di dati mirava a compilare un dossier completo sulla vittima, ponendo le basi per intrusioni potenzialmente più profonde o attacchi mirati.
È fondamentale sottolineare che, nonostante la possibilità che questi pacchetti si mascherino come parte di legittime attività di ricerca sulla sicurezza, come quelle volte a esporre le vulnerabilità attraverso tattiche di confusione delle dipendenze, la realtà rimane invariata. Questi pacchetti potrebbero essere progettati con intenti dannosi, raccogliendo e trasmettendo segretamente dati sensibili a entità esterne non autorizzate
Avviso speciale: l'anomalia di djs13-fetcher e le sue implicazioni per la sicurezza informatica
Durante l'esame accurato dei pacchetti sopra menzionati, la nostra piattaforma ha segnalato un'ulteriore anomalia: un pacchetto denominato djs13-fetcher. Questa particolare scoperta diverge dai casi precedenti, non solo nel metodo di funzionamento ma anche nella natura della minaccia che rappresenta. djs13-fetcher è stato identificato come l'avvio di una sequenza di download ed esecuzione per un allegato da Discord, in particolare un file binario denominato astroia.exe. Dopo un esame più attento attraverso un servizio di analisi automatizzato, questo binario ha ottenuto un Punteggio di minaccia di 85/100, una classificazione che lo classifica inequivocabilmente come malware.
Il funzionamento di djs13-fetcher e la successiva esecuzione di astroia.exe evidenziano un vettore di minacce sofisticato e multiforme. Il file binario in questione è stato progettato per eseguire una serie di azioni indicative di intenti dannosi profondamente radicati:
- Processi del sistema di deposizione delle uova: Il malware avvia più processi di sistema al momento dell'esecuzione, una tecnica spesso utilizzata per eseguire ulteriori script dannosi o per stabilire un punto d'appoggio sul sistema infetto per ulteriori payload.
- Interrogazione delle informazioni di sistema: Esegue query estese sulle informazioni di sistema. Questa azione è tipicamente mirata a raccogliere informazioni sull'ambiente del sistema, che possono essere utilizzate per adattare gli attacchi successivi alle specifiche vulnerabilità del sistema.
- Esecuzione di manovre evasive: Forse la cosa più importante è che astroia.exe è stato progettato per eseguire query WMI (Strumentazione gestione Windows) per rilevare se è in esecuzione all'interno di una macchina virtuale (VM). Questo comportamento è una chiara azione evasiva, intesa a evitare il rilevamento e l'analisi da parte dei professionisti della sicurezza informatica e dei sistemi automatizzati che comunemente utilizzano le VM per l'analisi del malware.
Principali takeaways
La scoperta di questi 10 pacchetti NPM dannosi, insieme al caso speciale del djs13-fetcher, sottolinea la fondamentale necessità di vigilanza e misure proattive nella salvaguardia delle nostre catene di fornitura di software.
Questa realtà mette in primo piano il ruolo indispensabile del servizio di allerta precoce di Xygeni. Progettato per analizzare e segnalare potenziali minacce nei nuovi pacchetti NPM non appena vengono pubblicati, il nostro servizio rappresenta un significativo passo avanti nelle difese proattive per la sicurezza informatica. Offrendo il rilevamento precoce di segnali indicativi di malevolenza, ben prima di standard procedure: diamo ai nostri clienti gli strumenti per proteggere i loro ecosistemi software da potenziali infiltrazioni di malware prima che possano causare danni.
Le organizzazioni devono dare priorità all’implementazione di solidi protocolli di sicurezza, dai controlli regolari del codice ai sofisticati strumenti di rilevamento, per proteggersi dalle sofisticate tattiche impiegate dagli avversari informatici. A Xygeni rimaniamo commitimpegnati a guidare la carica in questa battaglia in corso, dotando i nostri partner e la comunità più ampia delle conoscenze e degli strumenti necessari per respingere queste minacce insidiose.
Insieme, promuovendo una cultura di consapevolezza della sicurezza e collaborazione, possiamo rafforzare le nostre difese e garantire l’integrità dei nostri ecosistemi digitali per gli anni a venire.
