Diese Woche wurden im Node Package Manager (npm)-Repository vier Pakete entdeckt, die stark verschleierten bösartigen Python- und JavaScript-Code enthalten.
Gemäß einer berichten
Die Schadpakete von Kaspersky verbreiten die Malware „Volt Stealer“ und „Lofy Stealer“, sammeln Informationen von ihren Opfern, darunter Discord-Tokens und Kreditkarteninformationen, und spionieren sie im Laufe der Zeit aus.
Volt Stealer wird zum Stehlen verwendet Discord-Token und sammeln die IP-Adressen von Personen von den infizierten Computern, die dann über HTTP an böswillige Akteure hochgeladen werden.
Lofy Stealer, eine neu entwickelte Bedrohung, kann Discord-Clientdateien infizieren und die Aktionen des Opfers überwachen. Die Malware erkennt beispielsweise, wenn sich ein Benutzer anmeldet, E-Mail- oder Passwortdetails ändert oder die Multifaktor-Authentifizierung (MFA) aktiviert oder deaktiviert. Es überwacht auch, wenn ein Benutzer neue Zahlungsmethoden hinzufügt, und erfasst vollständige Kreditkartendaten. Die gesammelten Informationen werden dann auf einen Remote-Endpunkt hochgeladen.
Die Paketnamen sind „small-sm“, „pern-valids“, „lifeculer“ und „proc-title“. Obwohl npm sie aus dem Repository entfernt hat, stellen Anwendungen von Entwicklern, die sie bereits heruntergeladen haben, weiterhin eine Bedrohung dar.
Hacken von Discord-Tokens
Die gezielte Ausrichtung auf Discord bietet eine große Reichweite, da gestohlene Discord-Tokens für Spear-Phishing-Versuche gegen die Freunde der Opfer genutzt werden können. Aber Derek Manky, Chef-Sicherheitsstratege und Vizepräsident für globale Bedrohungsinformationen bei Fortinets FortiGuard Labs, weist darauf hin, dass die Angriffsfläche natürlich von Unternehmen zu Unternehmen unterschiedlich sein wird, je nachdem, wie sie die Multimedia-Kommunikationsplattform nutzen.
„Das Bedrohungsniveau wäre aufgrund dieser Konzepte rund um die mit diesen Vektoren verbundene Angriffsfläche nicht so hoch wie bei einem Tier-1-Ausbruch, wie wir ihn in der Vergangenheit gesehen haben – zum Beispiel Log4j“, erklärt er.
Benutzer von Discord haben Möglichkeiten, sich vor solchen Angriffen zu schützen: „Natürlich ist die Abdeckung der Kill Chain wie bei jeder gezielten Anwendung eine wirksame Maßnahme, um das Risiko und die Bedrohungsstufe zu reduzieren“, sagt Manky.
Das bedeutet, dass Richtlinien für die angemessene Nutzung von Discord entsprechend Benutzerprofilen, Netzwerksegmentierung und mehr eingerichtet werden müssen.
Warum npm das Ziel von Software-Supply-Chain-Angriffen ist
Das npm-Softwarepaket-Repository hat mehr als 11 Millionen Benutzer und Dutzende Milliarden Downloads der gehosteten Pakete. Es wird sowohl von erfahrenen Node.js-Entwicklern als auch von Personen verwendet, die es gelegentlich im Rahmen anderer Aktivitäten verwenden.
Die Open-Source-npm-Module werden sowohl in Node.js-Produktionsanwendungen als auch in Entwicklertools für Anwendungen verwendet, die Node sonst nicht verwenden würden. Wenn ein Entwickler versehentlich ein bösartiges Paket einfängt, um eine Anwendung zu erstellen, kann diese Malware die Endbenutzer dieser Anwendung ins Visier nehmen. Daher bieten solche Angriffe auf die Software-Lieferkette eine größere Reichweite mit weniger Aufwand, als wenn sie auf ein einzelnes Unternehmen abzielen.
„Diese allgegenwärtige Verwendung unter Entwicklern macht es zu einem großen Ziel“, sagt Casey Bisson, Leiter Produkt- und Entwickleraktivierung bei BluBracket, einem Anbieter von Code-Sicherheitslösungen.
Npm stellt nicht nur einen Angriffsvektor für eine große Anzahl von Zielen dar, sondern die Ziele selbst reichen über die Endbenutzer hinaus, sagt Bisson.
„Unternehmen und einzelne Entwickler verfügen häufig über größere Ressourcen als die durchschnittliche Bevölkerung, und laterale Angriffe, nachdem sie einen Brückenkopf in die Maschine oder die Unternehmenssysteme eines Entwicklers erlangt haben, sind im Allgemeinen ebenfalls recht erfolgreich“, fügt er hinzu.
Garwood Pang, leitender Sicherheitsforscher bei Tigera, einem Anbieter von Sicherheit und Observability für Container, weist darauf hin, dass npm zwar einen der beliebtesten Paketmanager für JavaScript bereitstellt, sich aber nicht jeder mit der Verwendung auskennt.
„Dadurch erhalten Entwickler Zugriff auf eine riesige Bibliothek von Open-Source-Paketen, um ihren Code zu verbessern“, sagt er. „Aufgrund der Benutzerfreundlichkeit und der Menge an Auflistungen kann ein unerfahrener Entwickler jedoch leicht ohne sein Wissen schädliche Pakete importieren.“
Allerdings ist es keine leichte Aufgabe, ein Schadpaket zu identifizieren. Tim Mackey, leitender Sicherheitsstratege am Synopsys Cybersecurity Research Center, verweist auf die schiere Menge an Komponenten, aus denen ein typisches NodeJS-Paket besteht.
„Die korrekte Implementierung einer beliebigen Funktionalität zu identifizieren, ist eine Herausforderung, wenn es viele verschiedene legitime Lösungen für dasselbe Problem gibt“, sagt er. „Fügen Sie eine bösartige Implementierung hinzu, die dann von anderen Komponenten referenziert werden kann, und Sie haben ein Rezept, bei dem es für niemanden schwierig ist, festzustellen, ob die Komponente, die er auswählt, das tut, was auf der Verpackung steht, und keine unerwünschten Elemente enthält oder referenziert.“ Funktionalität.“
Mehr als npm: Angriffe auf die Software-Lieferkette nehmen zu
Große Angriffe auf die Lieferkette hatten eine erhebliche Auswirkungen auf Software-Sicherheitsbewusstsein und Entscheidungsfindung, wobei weitere Investitionen in die Überwachung von Angriffsflächen geplant sind.
Mackey weist darauf hin, dass Software-Lieferketten schon immer Ziele waren, insbesondere wenn man sich Angriffe ansieht, die auf Frameworks wie Einkaufswagen oder Entwicklungstools abzielen.
„Was wir in letzter Zeit sehen, ist die Erkenntnis, dass Angriffe, die wir früher als Malware oder als Datenschutzverletzung eingestuft haben, in Wirklichkeit eine Gefährdung des Vertrauens sind, das Organisationen in die Software setzen, die sie sowohl erstellen als auch nutzen“, sagt er.
Mackey sagt auch, dass viele Leute davon ausgingen, dass die von einem Anbieter erstellte Software vollständig von diesem Anbieter verfasst wurde, aber in Wirklichkeit könnte es Hunderte von Bibliotheken von Drittanbietern geben, aus denen selbst die einfachste Software besteht – wie mit dem ans Licht kam Log4j-Fiasko.
„Diese Bibliotheken sind praktisch Lieferanten innerhalb der Software-Lieferkette für die Anwendung, aber die Entscheidung, einen bestimmten Lieferanten zu verwenden, wurde von einem Entwickler getroffen, der ein Funktionsproblem löste, und nicht von einem Geschäftsmann, der sich auf Geschäftsrisiken konzentriert“, sagt er.
Das hat zu Forderungen nach der Umsetzung geführt Softwarestücklisten (SBOMs). Und im Mai MITRE ins Leben gerufen
ein Prototyp-Framework für Informations- und Kommunikationstechnologie (IKT), das Risiken und Sicherheitsbedenken in der Lieferkette – einschließlich Software – definiert und quantifiziert.
