Fire pakker, der indeholder meget sløret ondsindet Python- og JavaScript-kode, blev opdaget i denne uge i Node Package Manager (npm) repository.
Ifølge en indberette
fra Kaspersky spredte de ondsindede pakker "Volt Stealer" og "Lofy Stealer" malware, indsamler oplysninger fra deres ofre, herunder Discord-tokens og kreditkortoplysninger, og spionerer på dem over tid.
Volt Stealer bruges til at stjæle Discord-tokens og høste folks IP-adresser fra de inficerede computere, som derefter uploades til ondsindede aktører via HTTP.
Lofy Stealer, en nyudviklet trussel, kan inficere Discord-klientfiler og overvåge ofrets handlinger. For eksempel registrerer malwaren, når en bruger logger på, ændrer e-mail eller adgangskodedetaljer eller aktiverer eller deaktiverer multifaktorautentificering (MFA). Det overvåger også, hvornår en bruger tilføjer nye betalingsmetoder, og vil høste alle kreditkortoplysninger. Den indsamlede information uploades derefter til et eksternt slutpunkt.
Pakkenavnene er "small-sm", "pern-valids", "lifeculer" og "proc-title." Mens npm har fjernet dem fra depotet, forbliver applikationer fra enhver udvikler, der allerede har downloadet dem, en trussel.
Hacking af Discord-tokens
Målretning af Discord giver stor rækkevidde, fordi stjålne Discord-tokens kan udnyttes til spyd-phishing-forsøg på ofrenes venner. Men Derek Manky, chefsikkerhedsstrateg og vicepræsident for global trusselintelligens hos Fortinets FortiGuard Labs, påpeger, at angrebsoverfladen naturligvis vil variere mellem organisationer, afhængigt af deres brug af multimediekommunikationsplatformen.
"Trusselsniveauet ville ikke være så højt som et Tier 1-udbrud, som vi har set tidligere - for eksempel Log4j - på grund af disse koncepter omkring angrebsoverfladen forbundet med disse vektorer," forklarer han.
Brugere af Discord har muligheder for at beskytte sig selv mod disse former for angreb: "Selvfølgelig, ligesom enhver applikation, der er målrettet, er dækning af dræbningskæden en effektiv foranstaltning til at reducere risiko- og trusselsniveauet," siger Manky.
Det betyder at have politikker opsat for passende brug af Discord i henhold til brugerprofiler, netværkssegmentering og mere.
Hvorfor npm er målrettet mod softwareforsyningskædeangreb
npm-softwarepakkelageret har mere end 11 millioner brugere og titusindvis af milliarder af downloads af de pakker, det hoster. Det bruges både af erfarne Node.js-udviklere og folk, der bruger det tilfældigt som en del af andre aktiviteter.
Open source npm-modulerne bruges både i Node.js-produktionsapplikationer og i udviklerværktøjer til applikationer, der ellers ikke ville bruge Node. Hvis en udvikler utilsigtet trækker i en ondsindet pakke for at bygge en applikation, kan den malware fortsætte med at målrette mod slutbrugerne af den applikation. Softwareforsyningskædeangreb som disse giver således større rækkevidde for mindre indsats end at målrette mod en individuel virksomhed.
"Den allestedsnærværende brug blandt udviklere gør det til et stort mål," siger Casey Bisson, leder af produkt- og udvikleraktivering hos BluBracket, en udbyder af kodesikkerhedsløsninger.
Npm giver ikke bare en angrebsvektor til et stort antal mål, men at målene i sig selv strækker sig ud over slutbrugere, siger Bisson.
"Virksomheder og individuelle udviklere har begge ofte større ressourcer end den gennemsnitlige befolkning, og laterale angreb efter at have fået et strandhoved i en udviklers maskine eller virksomhedssystemer er generelt også ret frugtbare," tilføjer han.
Garwood Pang, senior sikkerhedsforsker hos Tigera, en udbyder af sikkerhed og observerbarhed for containere, påpeger, at selvom npm leverer en af de mest populære pakkeadministratorer til JavaScript, er det ikke alle, der er kyndige i, hvordan man bruger det.
"Dette giver udviklere adgang til et enormt bibliotek af open source-pakker for at forbedre deres kode," siger han. "På grund af brugervenligheden og mængden af notering kan en uerfaren udvikler dog nemt importere ondsindede pakker uden deres viden."
Det er dog ikke let at identificere en ondsindet pakke. Tim Mackey, hovedsikkerhedsstrateg ved Synopsys Cybersecurity Research Center, nævner den store mængde komponenter, der udgør en typisk NodeJS-pakke.
"At være i stand til at identificere korrekte implementeringer af enhver funktionalitet er udfordret, når der er mange forskellige legitime løsninger på det samme problem," siger han. "Tilføj en ondsindet implementering, som derefter kan refereres af andre komponenter, og du har en opskrift, hvor det er svært for nogen at afgøre, om den komponent, de vælger, gør, hvad der står på boksen og ikke indeholder eller henviser til uønsket funktionalitet."
Mere end npm: Software Supply Chain-angreb på vej
Store forsyningskædeangreb har haft en betydelig påvirkning om softwaresikkerhedsbevidsthed og beslutningstagning, med flere investeringer planlagt til overvågning af angrebsflader.
Mackey påpeger, at softwareforsyningskæder altid har været mål, især når man ser på angreb rettet mod rammer som indkøbskurve eller udviklingsværktøjer.
"Det, vi ser for nylig, er en erkendelse af, at angreb, vi brugte til at kategorisere som malware eller som et databrud, i virkeligheden er kompromiser af den tillid, organisationer har til den software, de både skaber og bruger," siger han.
Mackey siger også, at mange mennesker antog, at software skabt af en leverandør udelukkende var forfattet af denne leverandør, men i virkeligheden kan der være hundredvis af tredjepartsbiblioteker, der udgør selv den enkleste software - som det kom frem med Log4j fiasko.
"Disse biblioteker er faktisk leverandører inden for softwareforsyningskæden til applikationen, men beslutningen om at bruge en given leverandør blev truffet af en udvikler, der løser et funktionsproblem og ikke af en forretningsmand, der fokuserede på forretningsrisici," siger han.
Det er bedt opfordrer til gennemførelse af softwarestyklister (SBOM'er). Og i maj MITRE lanceret
en prototyperamme for informations- og kommunikationsteknologi (IKT), der definerer og kvantificerer risici og sikkerhedsproblemer over forsyningskæden - inklusive software.
