Sel nädalal avastati Node Package Manageri (npm) hoidlast neli paketti, mis sisaldasid väga hägustatud pahatahtlikku Pythoni ja JavaScripti koodi.
Vastavalt aru
Kasperskylt levitavad pahatahtlikud paketid pahavara Volt Stealer ja Lofy Stealer, kogudes oma ohvritelt teavet, sealhulgas Discordi žetoone ja krediitkaarditeavet, ning luurates neid aja jooksul.
Varastamiseks kasutatakse Volt Stealeri Discord märgid ja koguda nakatunud arvutitest inimeste IP-aadressid, mis seejärel HTTP kaudu pahatahtlikele osalejatele üles laaditakse.
Äsja väljatöötatud oht Lofy Stealer võib nakatada Discordi kliendifaile ja jälgida ohvri tegevust. Näiteks tuvastab pahavara, kui kasutaja logib sisse, muudab e-posti aadressi või parooli üksikasju või lubab või keelab mitmefaktorilise autentimise (MFA). Samuti jälgib see, millal kasutaja lisab uusi makseviise, ja kogub kõik krediitkaardiandmed. Seejärel laaditakse kogutud teave üles kauglõpp-punkti.
Paketinimed on "small-sm", "pern-valids", "lifeculer" ja "proc-title". Kuigi npm on need hoidlast eemaldanud, jäävad need juba alla laadinud arendajate rakendused ohuks.
Discordi märkide häkkimine
Discordi sihtimine pakub suure haardeulatuse, kuna varastatud Discordi märke saab kasutada ohvrite sõprade pihta andmepüügi katseteks. Kuid Derek Manky, Fortineti FortiGuard Labsi turvalisuse peastrateeg ja globaalsete ohtude luure asepresident, juhib tähelepanu sellele, et ründepind on loomulikult organisatsioonide lõikes erinev, sõltuvalt nende multimeedia suhtlusplatvormi kasutamisest.
"Ohu tase ei oleks nii kõrge kui 1. astme haiguspuhang, nagu oleme varem näinud - näiteks Log4j - nende kontseptsioonide tõttu, mis on seotud nende vektoritega seotud rünnakupinnaga," selgitab ta.
Discordi kasutajatel on võimalusi end seda tüüpi rünnakute eest kaitsta: "Muidugi, nagu iga sihitud rakendus, on tapmisahela katmine tõhus meede riski ja ohutaseme vähendamiseks, " ütleb Manky.
See tähendab, et Discordi asjakohaseks kasutamiseks tuleb seadistada poliitikad vastavalt kasutajaprofiilidele, võrgu segmenteerimisele ja muule.
Miks on npm suunatud tarkvara tarneahela rünnakutele?
Npm tarkvarapakettide hoidlal on rohkem kui 11 miljonit kasutajat ja selle hostitud pakette on allalaaditud kümneid miljardeid allalaadimisi. Seda kasutavad nii kogenud Node.js-i arendajad kui ka inimesed, kes kasutavad seda juhuslikult muude tegevuste osana.
Avatud lähtekoodiga npm-mooduleid kasutatakse nii Node.js-i tootmisrakendustes kui ka arendaja tööriistades rakenduste jaoks, mis muidu Node'i ei kasutaks. Kui arendaja tõmbab rakenduse koostamiseks kogemata sisse pahatahtliku paketi, võib see pahavara sihtida selle rakenduse lõppkasutajaid. Seega pakuvad sellised tarkvara tarneahela rünnakud väiksema vaevaga suuremat ulatust kui üksiku ettevõtte sihtimine.
"See laialdane kasutamine arendajate seas muudab selle suureks sihtmärgiks," ütleb Casey Bisson, koodide turvalahendusi pakkuva BluBracketi toote- ja arendajate lubamise juht.
Bisson ütleb, et Npm ei paku mitte ainult rünnakuvektorit suurele hulgale sihtmärkidele, vaid ka sihtmärgid ise ulatuvad lõppkasutajatele kaugemale.
"Ettevõtetel ja üksikutel arendajatel on sageli suuremad ressursid kui keskmisel elanikkonnal ja külgmised rünnakud pärast arendaja masinas või ettevõtte süsteemides edu saavutamist on üldiselt samuti viljakad," lisab ta.
Konteinerite turvalisuse ja vaadeldavuse pakkuja Tigera vanemturbeteadur Garwood Pang juhib tähelepanu sellele, et kuigi npm on JavaScripti jaoks üks populaarsemaid paketihaldureid, pole kõik selle kasutamises arukad.
"See võimaldab arendajatel juurdepääsu tohutule avatud lähtekoodiga pakettide teegile, et oma koodi täiustada, " ütleb ta. "Kuid kasutuslihtsuse ja loendi hulga tõttu saab kogenematu arendaja kergesti importida pahatahtlikke pakette ilma nende teadmata."
Pahatahtliku paketi tuvastamine pole aga lihtne. Tim Mackey, Synopsyse küberturvalisuse uurimiskeskuse peamine turbestrateeg, tsiteerib tüüpilise NodeJS-i paketi komponentide tohutut hulka.
"Kui ühele ja samale probleemile on palju erinevaid legitiimseid lahendusi, on raskusi kõigi funktsioonide õigete rakenduste tuvastamisega," ütleb ta. "Lisage pahatahtlik rakendus, millele võivad seejärel viidata teised komponendid, ja teil on retsept, mille kohaselt on kellelgi raske kindlaks teha, kas nende valitud komponent teeb seda, mis on karbil kirjas ja kas see ei sisalda või ei viita soovimatule. funktsionaalsus."
Rohkem kui npm: tarkvara tarneahela rünnakud tõusuteel
Suured tarneahela rünnakud on olnud a märkimisväärset mõju tarkvara turvateadlikkuse ja otsuste tegemise kohta, kavandades rohkem investeeringuid rünnakupindade jälgimiseks.
Mackey juhib tähelepanu sellele, et tarkvara tarneahelad on alati olnud sihtmärgid, eriti kui vaadata rünnakuid, mis on suunatud raamistikele, nagu ostukärud või arendustööriistad.
"Hiljuti näeme tõdemust, et ründed, mida me kasutasime pahavara või andmerikkumisena liigitamiseks, on tegelikult kompromiteeritud usaldusele, mida organisatsioonid omistavad tarkvarale, mida nad nii loovad kui ka tarbivad," ütleb ta.
Mackey ütleb ka, et paljud inimesed eeldasid, et müüja loodud tarkvara on täielikult selle müüja autor, kuid tegelikkuses võib olla sadu kolmanda osapoole teeke, mis moodustavad isegi kõige lihtsama tarkvara – nagu ilmnes Log4j fiasko.
"Need raamatukogud on rakenduse tarkvara tarneahelas sisuliselt tarnijad, kuid mis tahes tarnija kasutamise otsuse tegi funktsiooniprobleemi lahendav arendaja, mitte äririskidele keskendunud ärimees," ütleb ta.
See ajendab üleskutseid selle rakendamiseks tarkvara materjaliarved (SBOM). Ja mais MITER käivitatud
info- ja sidetehnoloogia (IKT) prototüüpraamistik, mis määratleb ja kvantifitseerib riskid ja turvaprobleemid tarneahelas, sealhulgas tarkvara.
