Millionlab dasturlar orasida yashiringan bitta zaiflik, bitta zararli paket, son-sanoqsiz ilovalar xavfsizligiga putur yetkazishi, ham biznes operatsiyalari, ham foydalanuvchilarning shaxsiy hayotini xavf ostiga qo'yishi mumkin. Aynan shu xavfli vaziyatda Xygeni jamoasi xavfsizlik operatsiyasini boshladi va ko'pchilik qo'rqqan, ammo kam odam tasdiqlay olgan keskin haqiqatni ochib berdi: raqamli ekotizimimizning asosiy qismida zararli NPM paketlarining mavjudligi.
2024-yil 13-yanvardan 15-yanvargacha bizning mulkiy zararli kodni aniqlash skanerlashimiz odatiy pardani teshib o'tib, bitta emas, balki o'nta hiyla-nayrangli NPM paketlarini aniqladi. Bu tasodifiy qonunbuzarliklar emas, balki internetning soyali burchaklariga maxfiy ma'lumotlarni uzatish uchun yaratilgan kampaniyalar edi. Bu kashfiyot shunchaki uyg'otish qo'ng'irog'i emas; bu dasturiy ta'minotni ishlab chiqish jarayonidagi har bir manfaatdor tomon uchun harakatga chaqiriqdir.
Kiberxavfsizlik sohasida kashshoflar sifatida Xygeni'ning noyob kuzatuv nuqtasi bizga nafaqat ushbu tahdidlarni aniqlash, balki ularning oqibatlarini chuqur tushunish imkonini beradi. Ushbu hisobot bizning dalillarimizdan dalolat beradi. commitKelajakdagi hujumlarda konversiyani oldini olish uchun koddagi zararli dalillarni aniqlashning raqamli chegarasini himoya qilishga qaratilgan.
Ushbu kampaniyalarning murakkab tafsilotlarini o'rganish, hujumchilarning usullarini aniqlash va eng muhimi, bizneslar bunday hiyla-nayrangli tahdidlarga qarshi qanday qilib o'z himoyasini mustahkamlashlari mumkinligi haqida ma'lumot berish uchun bizga qo'shiling.
Dastlabki kashfiyot: Aurora Webmail Pro buzg'unchiligi
Bizning tergovimizdagi dastlabki kashfiyot nomli paket edi aurora-webmail-pro, bu taxallusli foydalanuvchi tomonidan NPM reestriga yuklangan 0x379cUshbu kashfiyotdan so'ng ko'p o'tmay, ro'yxatga olish organining xavfsizlik choralari tufayli faoliyati to'xtatilishidan oldin bir xil muallif tomonidan yuklangan to'rtta qo'shimcha paket aniqlandi.
Ushbu paketlar tarkibiga kiradi blog_2021@1.1.1, heatwallet@10.1.1, newbooking@1.1.1va pecko@1.0.1Tekshiruv natijasida har bir paketda foydalanuvchilarning maxfiy ma'lumotlarini o'g'irlashga qaratilgan juda o'xshash zararli kod borligi aniqlandi.
Dastur foydalanuvchi va tizimga nisbatan maxfiy tizim ma'lumotlarini tiklaydi va bunday ma'lumotlar bilan hexdump yaratadi. Keyin ma'lumotlar iteratsiya qilinadi va har bir qism uchun tashqi saytga GET so'rovi yuboriladi, bu yerda kirish yo'li har bir tuzilgan qismdir.
Ikkilamchi oshkor qilish: Zararli kodlarni tarqatishda turli xil taktikalar
Dastlabki partiyani aniqlash bilan bir vaqtda, bizning tekshiruvimiz uchta alohida foydalanuvchi tomonidan registr bo'ylab tarqatilgan to'rtta qo'shimcha NPM paketini aniqladi.
Ushbu paketlar, quyidagicha ro'yxatga olingan anyone-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2va synology-cft@10.0.0, o'z kod bazasida umumiy bir mavzuni baham ko'rdi — ularning har biri foydalanuvchi ma'lumotlarini o'g'irlash uchun ishlab chiqilgan. Shunisi e'tiborga loyiqki, bu holatlarda ma'lumotlarni chiqarib tashlash uchun qo'llanilgan usul birinchi guruhnikidan farq qildi va bu alohida, ammo bir xil darajada zararli kampaniyaga ishora qildi.
Ushbu ikkinchi kampaniyaning strategiyasi maxfiy ma'lumotlarni to'plashga to'g'ridan-to'g'ri yondashuvni o'z ichiga oldi. Faollashtirilgandan so'ng, ushbu paketlar ichidagi zararli kod foydalanuvchining tizim konfiguratsiyasi, shaxsiy foydalanuvchi ma'lumotlari va xususan, tizimning IP-manzili haqida batafsil ma'lumot olish uchun batafsil razvedka missiyasini boshladi. Ushbu keng qamrovli ma'lumotlarni to'plash jabrlanuvchi haqida to'liq dosyeni tuzishga, potentsial chuqurroq bosqinlar yoki maqsadli hujumlar uchun zamin yaratishga qaratilgan edi.
Shuni ta'kidlash kerakki, ushbu paketlar qonuniy xavfsizlik tadqiqotlari faoliyatining bir qismi sifatida niqoblanishi mumkinligiga qaramay, masalan, "Dependency Confusion" taktikasi orqali zaifliklarni fosh qilishga qaratilgan bo'lsa-da, haqiqat o'zgarishsiz qolmoqda. Ushbu paketlar zararli niyat bilan ishlab chiqilishi, maxfiy ma'lumotlarni yashirincha to'plashi va ruxsatsiz tashqi tashkilotlarga uzatishi mumkin.
Maxsus ogohlantirish: djs13-fetcher anomaliyasi va uning kiberxavfsizlikka ta'siri
Yuqorida aytib o'tilgan paketlarni tekshirish jarayonida bizning platformamiz qo'shimcha anomaliyani qayd etdi: nomlangan paket djs13-yig'uvchiUshbu aniq kashfiyot avvalgi holatlardan nafaqat ishlash usuli, balki u keltirib chiqaradigan tahdidning mohiyati jihatidan ham farq qiladi. djs13-yig'uvchi Discord'dan qo'shimchani, xususan, nomlangan ikkilik faylni yuklab olish va bajarish ketma-ketligini boshlash sifatida aniqlandi. astroia.exeAvtomatlashtirilgan tahlil xizmati orqali batafsilroq o'rganib chiqilgandan so'ng, ushbu ikkilik fayl ... ni qo'lga kiritdi. Tahdid balli 85/100, uni zararli dastur sifatida aniq tasniflaydigan reyting.
djs13-fetcherning ishlashi va keyinchalik astroia.exe ning bajarilishi murakkab va ko'p qirrali tahdid vektorini ta'kidlaydi. Ushbu ikkilik fayl chuqur zararli niyatni ko'rsatadigan bir qator harakatlarni bajarish uchun mo'ljallangan edi:
- Urug'lantirish tizimi jarayonlariZararli dastur ishga tushirilgandan so'ng bir nechta tizim jarayonlarini ishga tushiradi, bu usul ko'pincha keyingi zararli skriptlarni ishga tushirish yoki qo'shimcha foydali yuklamalar uchun zararlangan tizimda tayanch o'rnatish uchun ishlatiladi.
- Tizim ma'lumotlarini so'rashTizim ma'lumotlari bo'yicha keng ko'lamli so'rovlarni amalga oshiradi. Ushbu harakat odatda tizim muhiti haqida ma'lumot to'plashga qaratilgan bo'lib, undan keyingi hujumlarni tizimning o'ziga xos zaifliklariga moslashtirish uchun foydalanish mumkin.
- Qochish harakatlarini bajarishEhtimol, eng e'tiborlisi, astroia.exe Windows Management Instrumentation (WMI) so'rovlarini bajarish va uning virtual mashinada (VM) ishlayotganini aniqlash uchun mo'ljallangan. Bu xatti-harakatlar aniq qochish harakati bo'lib, kiberxavfsizlik mutaxassislari va zararli dasturlarni tahlil qilish uchun VMlardan foydalanadigan avtomatlashtirilgan tizimlar tomonidan aniqlash va tahlil qilishning oldini olishga qaratilgan.
Key Takeaways
Ushbu 10 ta zararli NPM paketining, shuningdek, djs13-fetcherning maxsus holatining aniqlanishi, dasturiy ta'minot ta'minot zanjirlarimizni himoya qilishda hushyorlik va proaktiv choralar zarurligini ta'kidlaydi.
Bu haqiqat Xygeni'ning Erta Ogohlantirish Xizmatining ajralmas rolini birinchi o'ringa qo'yadi. Yangi NPM paketlaridagi potentsial tahdidlarni ular nashr etilishi bilanoq tahlil qilish va ogohlantirish uchun mo'ljallangan bizning xizmatimiz proaktiv kiberxavfsizlik himoyasida sezilarli sakrashni anglatadi. Yomon niyatning indikativ signallarini erta aniqlashni taklif qilish orqali - ancha oldinda standard protseduralar — biz mijozlarimizga dasturiy ta'minot ekotizimlarini zarar etkazishi mumkin bo'lgan zararli dasturlarning kirib kelishidan himoya qilish imkonini beramiz.
Tashkilotlar kiberdushmanlar tomonidan qo'llaniladigan murakkab taktikalardan himoya qilish uchun muntazam kod auditlaridan tortib, murakkab aniqlash vositalarigacha bo'lgan mustahkam xavfsizlik protokollarini joriy etishga ustuvor ahamiyat berishlari kerak. Xygeni’da biz shundayligicha qolamiz commitushbu davom etayotgan jangda yetakchilik qilish, sheriklarimiz va kengroq jamoatchilikni ushbu hiyla-nayrangli tahdidlarga qarshi kurashish uchun zarur bo'lgan bilim va vositalar bilan ta'minlashga qaratilgan.
Birgalikda, xavfsizlikka e'tiborlilik va hamkorlik madaniyatini rivojlantirish orqali biz himoyamizni mustahkamlashimiz va kelgusi yillarda raqamli ekotizimlarimizning yaxlitligini ta'minlashimiz mumkin.




