چهار بسته حاوی کدهای مخرب پایتون و جاوا اسکریپت بسیار مبهم در این هفته در مخزن Node Package Manager (npm) کشف شد.
با توجه به گزارش
از طرف Kaspersky، بستههای مخرب بدافزار «Volt Stealer» و «Lofy Stealer» را پخش میکنند و اطلاعات قربانیان خود را از جمله توکنهای Discord و اطلاعات کارت اعتباری جمعآوری میکنند و در طول زمان از آنها جاسوسی میکنند.
Volt Stealer برای سرقت استفاده می شود توکنهای Discord و آدرس های IP افراد را از رایانه های آلوده جمع آوری می کند، که سپس از طریق HTTP برای عوامل مخرب آپلود می شود.
Lofy Stealer، یک تهدید جدید توسعه یافته، میتواند فایلهای مشتری Discord را آلوده کرده و بر اعمال قربانی نظارت کند. به عنوان مثال، بدافزار تشخیص می دهد که کاربر وارد سیستم می شود، جزئیات ایمیل یا رمز عبور را تغییر می دهد، یا احراز هویت چند عاملی (MFA) را فعال یا غیرفعال می کند. همچنین زمانی که کاربر روشهای پرداخت جدید را اضافه میکند، نظارت میکند و جزئیات کامل کارت اعتباری را جمعآوری میکند. سپس اطلاعات جمع آوری شده در یک نقطه پایانی راه دور آپلود می شود.
نام بسته ها «small-sm»، «pern-valids»، «lifeculer» و «proc-title» است. در حالی که npm آنها را از مخزن حذف کرده است، برنامههای هر توسعهدهندهای که قبلاً آنها را دانلود کردهاند همچنان یک تهدید باقی میمانند.
هک توکن های Discord
هدف گیری Discord دسترسی زیادی را فراهم می کند زیرا توکن های Discord سرقت شده را می توان برای تلاش های فیشینگ نیزه ای بر روی دوستان قربانیان مورد استفاده قرار داد. اما درک مانکی، استراتژیست ارشد امنیتی و معاون اطلاعات تهدیدات جهانی در آزمایشگاه FortiGuard Fortinet، اشاره میکند که البته سطح حمله در بین سازمانها بسته به استفاده آنها از پلتفرم ارتباطات چندرسانهای متفاوت است.
او توضیح میدهد: «سطح تهدید به دلیل این مفاهیم در اطراف سطح حمله مرتبط با این ناقلها، به اندازه شیوع Tier 1 مانند آنچه در گذشته دیدهایم - برای مثال Log4j - نخواهد بود.
کاربران Discord گزینههایی برای محافظت از خود در برابر این نوع حملات دارند: مانکی میگوید: «البته، مانند هر برنامهای که هدف قرار میگیرد، پوشش زنجیره کشتن یک اقدام مؤثر برای کاهش خطر و سطح تهدید است.»
این به معنای تنظیم خطمشیهایی برای استفاده مناسب از Discord با توجه به نمایههای کاربر، بخشبندی شبکه و موارد دیگر است.
چرا npm برای حملات زنجیره تامین نرم افزار هدف قرار می گیرد؟
مخزن بسته نرم افزاری npm دارای بیش از 11 میلیون کاربر و ده ها میلیارد دانلود از بسته هایی است که میزبان آن است. هم توسط توسعهدهندگان با تجربه Node.js و هم افرادی که بهعنوان بخشی از فعالیتهای دیگر از آن استفاده میکنند، استفاده میشود.
ماژول های منبع باز npm هم در برنامه های تولید Node.js و هم در ابزارهای توسعه دهنده برای برنامه هایی که در غیر این صورت از Node استفاده نمی کنند استفاده می شود. اگر یک توسعه دهنده به طور ناخواسته یک بسته مخرب را برای ساختن یک برنامه کاربردی بکشد، آن بدافزار می تواند کاربران نهایی آن برنامه را هدف قرار دهد. بنابراین، حملات زنجیره تامین نرمافزاری مانند این، نسبت به هدف قرار دادن یک شرکت منفرد، دسترسی بیشتری را برای تلاش کمتر فراهم میکنند.
کیسی بیسون، رئیس بخش فعال سازی محصولات و توسعه دهندگان در BluBracket، یک راه حل امنیتی کد ارائه دهنده، می گوید: «این استفاده همه جانبه در میان توسعه دهندگان، آن را به یک هدف بزرگ تبدیل می کند.
Bisson میگوید Npm فقط یک بردار حمله به تعداد زیادی هدف ارائه نمیکند، بلکه خود اهداف فراتر از کاربران نهایی هستند.
او می افزاید: «شرکت ها و توسعه دهندگان انفرادی هر دو اغلب منابع بیشتری نسبت به جمعیت متوسط دارند، و حملات جانبی پس از به دست آوردن برتری در ماشین توسعه دهندگان یا سیستم های سازمانی معمولاً نسبتاً ثمربخش هستند.
Garwood Pang، محقق ارشد امنیتی در Tigera، ارائهدهنده امنیت و قابلیت مشاهده کانتینرها، اشاره میکند که در حالی که npm یکی از محبوبترین مدیران بسته جاوا اسکریپت را ارائه میکند، اما همه در نحوه استفاده از آن دانا نیستند.
او میگوید: «این به توسعهدهندگان اجازه میدهد تا به کتابخانه عظیمی از بستههای منبع باز دسترسی داشته باشند تا کد خود را بهبود بخشند. با این حال، به دلیل سهولت استفاده و تعداد فهرست، یک توسعه دهنده بی تجربه می تواند به راحتی بسته های مخرب را بدون اطلاع آنها وارد کند.
با این حال، شناسایی یک بسته مخرب کار آسانی نیست. تیم مکی، استراتژیست امنیتی اصلی در مرکز تحقیقات امنیت سایبری Synopsys، به تعداد بسیار زیاد اجزای سازنده یک بسته NodeJS اشاره می کند.
او میگوید: «توانایی شناسایی پیادهسازیهای صحیح هر عملکردی زمانی که راهحلهای قانونی مختلف برای یک مشکل وجود دارد، به چالش کشیده میشود. یک پیادهسازی مخرب را اضافه کنید که میتواند توسط اجزای دیگر به آن ارجاع داده شود، و دستوری دارید که در آن تشخیص اینکه آیا مؤلفهای که انتخاب میکند، همان کاری را که روی جعبه میگوید انجام میدهد و شامل یا ارجاع نامطلوب نیست، برای هر کسی دشوار است. عملکرد."
بیش از npm: حملات زنجیره تامین نرم افزار در حال افزایش است
حملات عمده زنجیره تامین دارای یک تاثیر مهم در مورد آگاهی و تصمیم گیری امنیتی نرم افزار، با سرمایه گذاری بیشتر برای نظارت بر سطوح حمله برنامه ریزی شده است.
مکی اشاره میکند که زنجیرههای تامین نرمافزار همیشه هدف بودهاند، بهویژه وقتی به حملاتی که چارچوبهایی مانند سبد خرید یا ابزار توسعه را هدف قرار میدهند، نگاه میکنیم.
او میگوید: «آنچه اخیراً میبینیم این است که میدانیم حملاتی که برای دستهبندی به عنوان بدافزار یا نقض دادهها استفاده میکردیم، در واقع تضعیف اعتماد سازمانها به نرمافزاری است که هم ایجاد میکنند و هم مصرف میکنند.»
مکی همچنین میگوید که بسیاری از مردم تصور میکردند که نرمافزار ایجاد شده توسط یک فروشنده کاملاً توسط آن فروشنده نوشته شده است، اما در واقع، صدها کتابخانه شخص ثالث حتی سادهترین نرمافزار را تشکیل میدهند - همانطور که با شکست Log4j.
او میگوید: «آن کتابخانهها بهطور مؤثری در زنجیره تأمین نرمافزار برای برنامهها تأمینکننده هستند، اما تصمیم برای استفاده از هر تأمینکنندهای توسط توسعهدهندهای گرفته شد که یک مشکل ویژگی را حل میکند و نه توسط یک تاجر متمرکز بر ریسکهای تجاری».
که باعث فراخوانی برای اجرای صورتحساب های نرم افزاری مواد (SBOM). و در ماه مه، MITER راه اندازی
یک چارچوب اولیه برای فناوری اطلاعات و ارتباطات (ICT) که ریسک ها و نگرانی های امنیتی را در زنجیره تامین - از جمله نرم افزار - تعریف و کمیت می کند.