بسته‌های مخرب npm Scarf Up Tokens Discord، اطلاعات کارت اعتباری PlatoBlockchain Data Intelligence. جستجوی عمودی Ai.

بسته‌های مخرب npm Scarf Up Tokens Discord، اطلاعات کارت اعتباری

تمبر زمان: 29 ژوئیه 2022، 10:06 صبح

چهار بسته حاوی کدهای مخرب پایتون و جاوا اسکریپت بسیار مبهم در این هفته در مخزن Node Package Manager (npm) کشف شد. 

با توجه به گزارش
از طرف Kaspersky، بسته‌های مخرب بدافزار «Volt Stealer» و «Lofy Stealer» را پخش می‌کنند و اطلاعات قربانیان خود را از جمله توکن‌های Discord و اطلاعات کارت اعتباری جمع‌آوری می‌کنند و در طول زمان از آنها جاسوسی می‌کنند.

Volt Stealer برای سرقت استفاده می شود توکن‌های Discord و آدرس های IP افراد را از رایانه های آلوده جمع آوری می کند، که سپس از طریق HTTP برای عوامل مخرب آپلود می شود. 

Lofy Stealer، یک تهدید جدید توسعه یافته، می‌تواند فایل‌های مشتری Discord را آلوده کرده و بر اعمال قربانی نظارت کند. به عنوان مثال، بدافزار تشخیص می دهد که کاربر وارد سیستم می شود، جزئیات ایمیل یا رمز عبور را تغییر می دهد، یا احراز هویت چند عاملی (MFA) را فعال یا غیرفعال می کند. همچنین زمانی که کاربر روش‌های پرداخت جدید را اضافه می‌کند، نظارت می‌کند و جزئیات کامل کارت اعتباری را جمع‌آوری می‌کند. سپس اطلاعات جمع آوری شده در یک نقطه پایانی راه دور آپلود می شود.

نام بسته ها «small-sm»، «pern-valids»، «lifeculer» و «proc-title» است. در حالی که npm آنها را از مخزن حذف کرده است، برنامه‌های هر توسعه‌دهنده‌ای که قبلاً آنها را دانلود کرده‌اند همچنان یک تهدید باقی می‌مانند.

هک توکن های Discord

هدف گیری Discord دسترسی زیادی را فراهم می کند زیرا توکن های Discord سرقت شده را می توان برای تلاش های فیشینگ نیزه ای بر روی دوستان قربانیان مورد استفاده قرار داد. اما درک مانکی، استراتژیست ارشد امنیتی و معاون اطلاعات تهدیدات جهانی در آزمایشگاه FortiGuard Fortinet، اشاره می‌کند که البته سطح حمله در بین سازمان‌ها بسته به استفاده آنها از پلتفرم ارتباطات چندرسانه‌ای متفاوت است.

او توضیح می‌دهد: «سطح تهدید به دلیل این مفاهیم در اطراف سطح حمله مرتبط با این ناقل‌ها، به اندازه شیوع Tier 1 مانند آنچه در گذشته دیده‌ایم - برای مثال Log4j - نخواهد بود.

کاربران Discord گزینه‌هایی برای محافظت از خود در برابر این نوع حملات دارند: مانکی می‌گوید: «البته، مانند هر برنامه‌ای که هدف قرار می‌گیرد، پوشش زنجیره کشتن یک اقدام مؤثر برای کاهش خطر و سطح تهدید است.»

این به معنای تنظیم خط‌مشی‌هایی برای استفاده مناسب از Discord با توجه به نمایه‌های کاربر، بخش‌بندی شبکه و موارد دیگر است.

چرا npm برای حملات زنجیره تامین نرم افزار هدف قرار می گیرد؟

مخزن بسته نرم افزاری npm دارای بیش از 11 میلیون کاربر و ده ها میلیارد دانلود از بسته هایی است که میزبان آن است. هم توسط توسعه‌دهندگان با تجربه Node.js و هم افرادی که به‌عنوان بخشی از فعالیت‌های دیگر از آن استفاده می‌کنند، استفاده می‌شود.

ماژول های منبع باز npm هم در برنامه های تولید Node.js و هم در ابزارهای توسعه دهنده برای برنامه هایی که در غیر این صورت از Node استفاده نمی کنند استفاده می شود. اگر یک توسعه دهنده به طور ناخواسته یک بسته مخرب را برای ساختن یک برنامه کاربردی بکشد، آن بدافزار می تواند کاربران نهایی آن برنامه را هدف قرار دهد. بنابراین، حملات زنجیره تامین نرم‌افزاری مانند این، نسبت به هدف قرار دادن یک شرکت منفرد، دسترسی بیشتری را برای تلاش کمتر فراهم می‌کنند.

کیسی بیسون، رئیس بخش فعال سازی محصولات و توسعه دهندگان در BluBracket، یک راه حل امنیتی کد ارائه دهنده، می گوید: «این استفاده همه جانبه در میان توسعه دهندگان، آن را به یک هدف بزرگ تبدیل می کند.

Bisson می‌گوید Npm فقط یک بردار حمله به تعداد زیادی هدف ارائه نمی‌کند، بلکه خود اهداف فراتر از کاربران نهایی هستند.

او می افزاید: «شرکت ها و توسعه دهندگان انفرادی هر دو اغلب منابع بیشتری نسبت به جمعیت متوسط ​​دارند، و حملات جانبی پس از به دست آوردن برتری در ماشین توسعه دهندگان یا سیستم های سازمانی معمولاً نسبتاً ثمربخش هستند.

Garwood Pang، محقق ارشد امنیتی در Tigera، ارائه‌دهنده امنیت و قابلیت مشاهده کانتینرها، اشاره می‌کند که در حالی که npm یکی از محبوب‌ترین مدیران بسته جاوا اسکریپت را ارائه می‌کند، اما همه در نحوه استفاده از آن دانا نیستند.

او می‌گوید: «این به توسعه‌دهندگان اجازه می‌دهد تا به کتابخانه عظیمی از بسته‌های منبع باز دسترسی داشته باشند تا کد خود را بهبود بخشند. با این حال، به دلیل سهولت استفاده و تعداد فهرست، یک توسعه دهنده بی تجربه می تواند به راحتی بسته های مخرب را بدون اطلاع آنها وارد کند.

با این حال، شناسایی یک بسته مخرب کار آسانی نیست. تیم مکی، استراتژیست امنیتی اصلی در مرکز تحقیقات امنیت سایبری Synopsys، به تعداد بسیار زیاد اجزای سازنده یک بسته NodeJS اشاره می کند.

او می‌گوید: «توانایی شناسایی پیاده‌سازی‌های صحیح هر عملکردی زمانی که راه‌حل‌های قانونی مختلف برای یک مشکل وجود دارد، به چالش کشیده می‌شود. یک پیاده‌سازی مخرب را اضافه کنید که می‌تواند توسط اجزای دیگر به آن ارجاع داده شود، و دستوری دارید که در آن تشخیص اینکه آیا مؤلفه‌ای که انتخاب می‌کند، همان کاری را که روی جعبه می‌گوید انجام می‌دهد و شامل یا ارجاع نامطلوب نیست، برای هر کسی دشوار است. عملکرد."

بیش از npm: حملات زنجیره تامین نرم افزار در حال افزایش است

حملات عمده زنجیره تامین دارای یک تاثیر مهم در مورد آگاهی و تصمیم گیری امنیتی نرم افزار، با سرمایه گذاری بیشتر برای نظارت بر سطوح حمله برنامه ریزی شده است.

مکی اشاره می‌کند که زنجیره‌های تامین نرم‌افزار همیشه هدف بوده‌اند، به‌ویژه وقتی به حملاتی که چارچوب‌هایی مانند سبد خرید یا ابزار توسعه را هدف قرار می‌دهند، نگاه می‌کنیم.

او می‌گوید: «آنچه اخیراً می‌بینیم این است که می‌دانیم حملاتی که برای دسته‌بندی به عنوان بدافزار یا نقض داده‌ها استفاده می‌کردیم، در واقع تضعیف اعتماد سازمان‌ها به نرم‌افزاری است که هم ایجاد می‌کنند و هم مصرف می‌کنند.»

مکی همچنین می‌گوید که بسیاری از مردم تصور می‌کردند که نرم‌افزار ایجاد شده توسط یک فروشنده کاملاً توسط آن فروشنده نوشته شده است، اما در واقع، صدها کتابخانه شخص ثالث حتی ساده‌ترین نرم‌افزار را تشکیل می‌دهند - همانطور که با شکست Log4j.

او می‌گوید: «آن کتابخانه‌ها به‌طور مؤثری در زنجیره تأمین نرم‌افزار برای برنامه‌ها تأمین‌کننده هستند، اما تصمیم برای استفاده از هر تأمین‌کننده‌ای توسط توسعه‌دهنده‌ای گرفته شد که یک مشکل ویژگی را حل می‌کند و نه توسط یک تاجر متمرکز بر ریسک‌های تجاری».

که باعث فراخوانی برای اجرای صورتحساب های نرم افزاری مواد (SBOM). و در ماه مه، MITER راه اندازی
یک چارچوب اولیه برای فناوری اطلاعات و ارتباطات (ICT) که ریسک ها و نگرانی های امنیتی را در زنجیره تامین - از جمله نرم افزار - تعریف و کمیت می کند.

تمبر زمان:

بیشتر از تاریک خواندن