Откриени 10 злонамерни NPM пакети: Повик за будење Software Supply Chain Security

Една единствена ранливост, осамен злонамерен пакет скриен меѓу милиони, може да ја загрози безбедноста на безброј апликации, загрозувајќи ги и деловните операции и приватноста на корисниците. Во овој несигурен пејзаж, нашиот тим во Xygeni започна безбедносна операција, откривајќи сурова реалност од која многумина се плашеа, но малкумина можеа да ја потврдат: присуството на злонамерни NPM пакети во самиот ‘рбет на нашиот дигитален екосистем.

Од 13 до 15 јануари 2024 година, нашето сопствено скенирање за откривање на малициозен код се проби низ превезот на нормалноста, откривајќи не еден, туку десет подмолни NPM пакети. Ова не беа случајни акти на злоупотреба на службената должност, туку кампањи, секоја создадена за да ексфилтрира чувствителни податоци во сомнителни агли на интернетот. Ова откритие не е само повик за будење; тоа е јасен повик за акција за секој засегнат во процесот на развој на софтвер.

Како пионери во сајбер безбедноста, единствената гледна точка на Xygeni ни овозможува не само да ги детектираме овие закани, туку и длабоко да ги разбереме нивните импликации. Овој извештај е доказ за нашата commitмент за заштита на дигиталната граница на откривање на злонамерни докази во кодот за да се избегне конверзија во идните напади.

Придружете ни се додека навлегуваме во сложените детали на овие кампањи, разоткривајќи ги методите на напаѓачите и, најважно од сè, фрлајќи светлина врз тоа како бизнисите можат да ја зајакнат својата одбрана од вакви подмолни закани.

Првично откритие: Пробив во Aurora Webmail Pro

Првичното откритие во нашата истрага беше пакетот со име aurora-webmail-pro, кој беше прикачен во регистарот на NPM од корисник со псевдоним 0x379вОва откритие набрзо беше проследено со идентификација на четири дополнителни пакети, сите качени од истиот автор пред нивните активности да бидат запрени од безбедносните мерки на регистарот.

Овие пакети вклучуваа блог_2021@1.1.1, heatwallet@10.1.1, новобукингирање@1.1.1, и pecko@1.0.1По прегледот, беше откриено дека секој пакет содржи неверојатно сличен малициозен код насочен кон кражба на чувствителни информации за корисниците.

NPM пакети

Програмата ги обновува чувствителните системски информации во однос на корисникот и системот и креира хексадецимален дамп со такви податоци. Потоа податоците се итерираат и за секој дел, се прави GET барање до надворешна страница, каде што пристапената патека е секој од конструираните делови.

Секундарно откривање: Различни тактики во ширењето на малициозен код

Истовремено со откривањето на почетната серија, нашата истрага откри четири дополнителни NPM пакети, дистрибуирани низ регистарот од три различни корисници. 

Овие пакети, наведени како секој-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2, и synology-cft@10.0.0, делеа заедничка нишка во нивната база на кодови - секој беше дизајниран да ги извлече информациите за корисниците. Имено, методот што се користеше за ексфилтрација на податоци во овие случаи се разликуваше од оној на првата група, алудирајќи на посебна, иако подеднакво злобна, кампања.

Секундарно откривање: Различни тактики во ширењето на малициозен код

Стратегијата на оваа втора кампања вклучуваше подиректен пристап кон собирање чувствителни податоци. По активирањето, малициозниот код во овие пакети се впушти во темелна извидувачка мисија, извлекувајќи детални информации за системската конфигурација на корисникот, личните кориснички податоци и, особено, IP-адресата на системот. Ова сеопфатно собирање податоци имаше за цел да состави целосно досие за жртвата, подготвувајќи ја сцената за потенцијално подлабоки упади или целни напади.

Клучно е да се нагласи дека и покрај потенцијалот овие пакети да се маскираат како дел од легитимни активности за истражување на безбедноста, како што се оние што имаат за цел да ги разоткријат ранливостите преку тактики на конфузија на зависности, реалноста останува непроменета. Овие пакети би можеле да бидат дизајнирани со злонамерна намера, тајно собирајќи и пренесувајќи чувствителни податоци до неовластени надворешни субјекти.

Специјално предупредување: Аномалијата djs13-fetcher и нејзините импликации врз сајбер безбедноста

Среде испитувањето на гореспоменатите пакети, нашата платформа забележа дополнителна аномалија: пакет со име djs13-fetcherОва конкретно откритие се разликува од претходните случаи, не само по методот на работа, туку и по природата на заканата што ја претставува. djs13-fetcher беше идентификувано како иницирање на секвенца за преземање и извршување за прилог од Discord, поточно бинарна датотека со име astroia.exeПо подетално испитување преку услуга за автоматска анализа, овој бинарен систем доби Резултат на закана од 85/100, оценка што недвосмислено го класифицира како малициозен софтвер.

Специјално предупредување: Аномалијата djs13-fetcher и нејзините импликации врз сајбер безбедноста

Работата на djs13-fetcher и последователното извршување на astroia.exe нагласуваат софистициран и разновиден вектор на закана. Бинарната датотека за која станува збор е дизајнирана да изврши низа дејства што укажуваат на длабоко вкоренета злонамерна намера:

  • Процеси на системот за мрестењеМалициозниот софтвер иницира повеќе системски процеси по извршувањето, техника што често се користи за извршување на дополнителни злонамерни скрипти или за воспоставување упориште на заразениот систем за дополнителни носивост.
  • Барање информации за системотСпроведува обемни пребарувања на системски информации. Оваа акција обично е насочена кон собирање разузнавачки информации за системската околина, кои можат да се користат за прилагодување на последователните напади на специфичните ранливости на системот.
  • Изведување маневри за избегнувањеМожеби најзначајно, astroia.exe е дизајнирана да извршува барања за Windows Management Instrumentation (WMI) за да открие дали работи во виртуелна машина (VM). Ова однесување е јасна акција за избегнување, наменета за да се избегне откривање и анализа од страна на професионалци за сајбер безбедност и автоматизирани системи кои најчесто користат виртуелни машини за анализа на малициозен софтвер.

Клучни преземања

Откривањето на овие 10 злонамерни NPM пакети, заедно со посебниот случај на djs13-fetcher, ја нагласува критичната потреба од будност и проактивни мерки во заштитата на нашите синџири на снабдување со софтвер. 

Оваа реалност ја става во преден план неопходната улога на Службата за рано предупредување на Xygeni. Дизајнирана да анализира и да предупредува за потенцијални закани во новите NPM пакети штом ќе бидат објавени, нашата услуга претставува значаен скок напред во проактивната сајбер-безбедносна одбрана. Нудејќи рано откривање на индикативни сигнали за злонамерност - многу порано од... standard процедури - им овозможуваме на нашите клиенти да ги заштитат своите софтверски екосистеми од потенцијална инфилтрација на малициозен софтвер пред тој да може да предизвика штета.

Организациите мора да дадат приоритет на имплементацијата на робусни безбедносни протоколи, од редовни ревизии на кодот до софистицирани алатки за детекција, за да се заштитат од софистицираните тактики што ги користат сајбер-противниците. Во Xygeni, ние остануваме commitТежнееме да го предводиме нападот во оваа тековна битка, опремувајќи ги нашите партнери и пошироката заедница со знаењето и алатките потребни за одбрана од овие подмолни закани.

Заедно, преку негување култура на внимателност кон безбедноста и соработка, можеме да ја зајакнеме нашата одбрана и да го обезбедиме интегритетот на нашите дигитални екосистеми во годините што доаѓаат.

алатки-за-анализа-на-композиции-на-sca-алатки
Дајте приоритет, санирајте и обезбедете ги вашите софтверски ризици
Добијте ја вашата бесплатна сметка.
Не е потребна кредитна картичка.

Обезбедете го вашиот развој и испорака на софтвер

со Xygeni Product Suite