Τέσσερα πακέτα που περιέχουν εξαιρετικά ασαφή κακόβουλο κώδικα Python και JavaScript ανακαλύφθηκαν αυτήν την εβδομάδα στο αποθετήριο Node Package Manager (npm).
Σύμφωνα με ένα αναφέρουν
από την Kaspersky, τα κακόβουλα πακέτα διαδίδουν το κακόβουλο λογισμικό "Volt Stealer" και "Lofy Stealer", συλλέγοντας πληροφορίες από τα θύματά τους, συμπεριλαμβανομένων των διακριτικών Discord και πληροφοριών πιστωτικών καρτών, και κατασκοπεύοντάς τα με την πάροδο του χρόνου.
Το Volt Stealer χρησιμοποιείται για την κλοπή Διαφωνία διακριτικά και συλλέγει τις διευθύνσεις IP των ατόμων από τους μολυσμένους υπολογιστές, οι οποίοι στη συνέχεια μεταφορτώνονται σε κακόβουλους παράγοντες μέσω HTTP.
Το Lofy Stealer, μια απειλή που αναπτύχθηκε πρόσφατα, μπορεί να μολύνει τα αρχεία πελάτη Discord και να παρακολουθεί τις ενέργειες του θύματος. Για παράδειγμα, το κακόβουλο λογισμικό εντοπίζει πότε ένας χρήστης συνδέεται, αλλάζει στοιχεία ηλεκτρονικού ταχυδρομείου ή κωδικού πρόσβασης ή ενεργοποιεί ή απενεργοποιεί τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Επίσης παρακολουθεί πότε ένας χρήστης προσθέτει νέους τρόπους πληρωμής και θα συλλέγει τα πλήρη στοιχεία της πιστωτικής κάρτας. Οι πληροφορίες που συλλέγονται στη συνέχεια μεταφορτώνονται σε ένα απομακρυσμένο τελικό σημείο.
Τα ονόματα των πακέτων είναι "small-sm", "pern-valids", "lifeculer" και "proc-title". Ενώ το npm τις έχει αφαιρέσει από το χώρο αποθήκευσης, οι εφαρμογές από οποιονδήποτε προγραμματιστή που τις έχει ήδη κατεβάσει εξακολουθούν να αποτελούν απειλή.
Hacking Discord Tokens
Η στόχευση του Discord παρέχει μεγάλη εμβέλεια, επειδή τα κλεμμένα διακριτικά Discord μπορούν να χρησιμοποιηθούν για απόπειρες ψαρέματος με δόρυ σε φίλους των θυμάτων. Ωστόσο, ο Derek Manky, επικεφαλής στρατηγικής ασφαλείας και αντιπρόεδρος πληροφοριών παγκόσμιων απειλών στα FortiGuard Labs της Fortinet, επισημαίνει ότι η επιφάνεια επίθεσης θα διαφέρει φυσικά μεταξύ των οργανισμών, ανάλογα με τη χρήση της πλατφόρμας επικοινωνίας πολυμέσων.
"Το επίπεδο απειλής δεν θα ήταν τόσο υψηλό όσο ένα ξέσπασμα Tier 1 όπως έχουμε δει στο παρελθόν - για παράδειγμα, Log4j - λόγω αυτών των εννοιών γύρω από την επιφάνεια επίθεσης που σχετίζονται με αυτούς τους φορείς", εξηγεί.
Οι χρήστες του Discord έχουν επιλογές για να προστατευθούν από αυτού του είδους τις επιθέσεις: «Φυσικά, όπως κάθε εφαρμογή που στοχεύει, η κάλυψη της αλυσίδας kill είναι ένα αποτελεσματικό μέτρο για τη μείωση του κινδύνου και του επιπέδου απειλής», λέει ο Manky.
Αυτό σημαίνει ότι έχετε ορίσει πολιτικές για την κατάλληλη χρήση του Discord σύμφωνα με τα προφίλ χρηστών, την τμηματοποίηση δικτύου και άλλα.
Γιατί το npm στοχεύει σε επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού
Το αποθετήριο πακέτων λογισμικού npm έχει περισσότερους από 11 εκατομμύρια χρήστες και δεκάδες δισεκατομμύρια λήψεις των πακέτων που φιλοξενεί. Χρησιμοποιείται τόσο από έμπειρους προγραμματιστές του Node.js όσο και από άτομα που το χρησιμοποιούν περιστασιακά ως μέρος άλλων δραστηριοτήτων.
Οι μονάδες ανοιχτού κώδικα npm χρησιμοποιούνται τόσο σε εφαρμογές παραγωγής Node.js όσο και σε εργαλεία προγραμματιστών για εφαρμογές που διαφορετικά δεν θα χρησιμοποιούσαν το Node. Εάν ένας προγραμματιστής τραβάει κατά λάθος ένα κακόβουλο πακέτο για να δημιουργήσει μια εφαρμογή, αυτό το κακόβουλο λογισμικό μπορεί να συνεχίσει να στοχεύει τους τελικούς χρήστες αυτής της εφαρμογής. Έτσι, επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού όπως αυτές παρέχουν μεγαλύτερη εμβέλεια για λιγότερη προσπάθεια από ό,τι στοχεύουν σε μια μεμονωμένη εταιρεία.
«Αυτή η πανταχού παρούσα χρήση μεταξύ των προγραμματιστών το καθιστά μεγάλο στόχο», λέει ο Casey Bisson, επικεφαλής του τμήματος ενεργοποίησης προϊόντων και προγραμματιστών στο BluBracket, μια λύση ασφαλείας κώδικα παρόχου.
Το Npm δεν παρέχει απλώς έναν φορέα επίθεσης σε μεγάλο αριθμό στόχων, αλλά ότι οι ίδιοι οι στόχοι εκτείνονται πέρα από τους τελικούς χρήστες, λέει ο Bisson.
«Οι επιχειρήσεις και οι μεμονωμένοι προγραμματιστές έχουν συχνά μεγαλύτερους πόρους από τον μέσο πληθυσμό και οι πλευρικές επιθέσεις μετά την απόκτηση πλεονεκτήματος στο μηχάνημα ενός προγραμματιστή ή στα εταιρικά συστήματα είναι γενικά επίσης μάλλον καρποφόρες», προσθέτει.
Ο Garwood Pang, ανώτερος ερευνητής ασφάλειας στην Tigera, ένας πάροχος ασφάλειας και παρατηρησιμότητας για κοντέινερ, επισημαίνει ότι ενώ το npm παρέχει έναν από τους πιο δημοφιλείς διαχειριστές πακέτων για JavaScript, δεν γνωρίζουν όλοι πώς να το χρησιμοποιούν.
«Αυτό επιτρέπει στους προγραμματιστές να έχουν πρόσβαση σε μια τεράστια βιβλιοθήκη πακέτων ανοιχτού κώδικα για να βελτιώσουν τον κώδικά τους», λέει. "Ωστόσο, λόγω της ευκολίας χρήσης και του όγκου της καταχώρισης, ένας άπειρος προγραμματιστής μπορεί εύκολα να εισάγει κακόβουλα πακέτα χωρίς να το γνωρίζει."
Ωστόσο, δεν είναι εύκολο να προσδιορίσετε ένα κακόβουλο πακέτο. Ο Tim Mackey, κύριος υπεύθυνος στρατηγικής ασφάλειας στο Synopsys Cybersecurity Research Center, αναφέρει την τεράστια ποσότητα στοιχείων που συνθέτουν ένα τυπικό πακέτο NodeJS.
«Η δυνατότητα εντοπισμού σωστών υλοποιήσεων οποιασδήποτε λειτουργικότητας αμφισβητείται όταν υπάρχουν πολλές διαφορετικές νόμιμες λύσεις στο ίδιο πρόβλημα», λέει. "Προσθέστε μια κακόβουλη υλοποίηση που μπορεί στη συνέχεια να γίνει αναφορά από άλλα στοιχεία και θα έχετε μια συνταγή όπου είναι δύσκολο για οποιονδήποτε να προσδιορίσει εάν το στοιχείο που επιλέγει κάνει αυτό που λέει στο πλαίσιο και δεν περιλαμβάνει ή αναφέρεται ανεπιθύμητη λειτουργικότητα."
Περισσότερα από npm: Επιθέσεις εφοδιαστικής αλυσίδας λογισμικού σε άνοδο
Οι μεγάλες επιθέσεις στην αλυσίδα εφοδιασμού είχαν α σημαντική επίδραση σχετικά με την ευαισθητοποίηση για την ασφάλεια του λογισμικού και τη λήψη αποφάσεων, με περισσότερες επενδύσεις που σχεδιάζονται για την παρακολούθηση επιφανειών επίθεσης.
Ο Mackey επισημαίνει ότι οι αλυσίδες εφοδιασμού λογισμικού ήταν πάντα στόχοι, ιδιαίτερα όταν κάποιος εξετάζει επιθέσεις που στοχεύουν πλαίσια όπως καροτσάκια αγορών ή εργαλεία ανάπτυξης.
«Αυτό που βλέπουμε πρόσφατα είναι μια αναγνώριση ότι οι επιθέσεις που χρησιμοποιούσαμε για να κατηγοριοποιήσουμε ως κακόβουλο λογισμικό ή ως παραβίαση δεδομένων είναι στην πραγματικότητα παραβιάσεις της εμπιστοσύνης των οργανισμών στο λογισμικό που δημιουργούν και καταναλώνουν», λέει.
Ο Mackey λέει επίσης ότι πολλοί άνθρωποι υπέθεσαν ότι το λογισμικό που δημιουργήθηκε από έναν προμηθευτή είχε δημιουργηθεί εξ ολοκλήρου από αυτόν τον προμηθευτή, αλλά, στην πραγματικότητα, θα μπορούσαν να υπάρχουν εκατοντάδες βιβλιοθήκες τρίτων που συνθέτουν ακόμη και το απλούστερο λογισμικό - όπως αποκαλύφθηκε με το Log4j φιάσκο.
«Αυτές οι βιβλιοθήκες είναι ουσιαστικά προμηθευτές εντός της αλυσίδας εφοδιασμού λογισμικού για την εφαρμογή, αλλά η απόφαση να χρησιμοποιηθεί οποιοσδήποτε δεδομένος προμηθευτής ελήφθη από έναν προγραμματιστή που λύνει ένα πρόβλημα χαρακτηριστικών και όχι από έναν επιχειρηματία που επικεντρώνεται στους επιχειρηματικούς κινδύνους», λέει.
Αυτό προκαλεί εκκλήσεις για την εφαρμογή του λογαριασμούς υλικών λογισμικού (SBOM). Και, τον Μάιο, ΜΗΤΡ ξεκίνησε
ένα πρωτότυπο πλαίσιο για την τεχνολογία πληροφοριών και επικοινωνιών (ΤΠΕ) που ορίζει και ποσοτικοποιεί τους κινδύνους και τις ανησυχίες για την ασφάλεια στην αλυσίδα εφοδιασμού — συμπεριλαμβανομένου του λογισμικού.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
