Node Package Manager (npm) -varastosta löydettiin tällä viikolla neljä pakettia, jotka sisälsivät erittäin haitallista Python- ja JavaScript-koodia.
Mukaan raportti
Kasperskyn haitalliset paketit levittivät "Volt Stealer"- ja "Lofy Stealer" -haittaohjelmia, keräten uhriltaan tietoja, mukaan lukien Discord-tunnuksia ja luottokorttitietoja, ja vakoilemalla niitä ajan mittaan.
Volt Stealeriä käytetään varastamaan Discord-merkit ja kerätä ihmisten IP-osoitteet tartunnan saaneilta tietokoneilta, jotka sitten ladataan haitallisille toimijoille HTTP:n kautta.
Lofy Stealer, hiljattain kehitetty uhka, voi tartuttaa Discord-asiakastiedostoja ja valvoa uhrin toimia. Haittaohjelma havaitsee esimerkiksi, kun käyttäjä kirjautuu sisään, muuttaa sähköpostiosoitteen tai salasanan tietoja tai ottaa käyttöön tai poistaa käytöstä monitekijätodennuksen (MFA). Se myös tarkkailee, milloin käyttäjä lisää uusia maksutapoja, ja kerää kaikki luottokorttitiedot. Kerätyt tiedot ladataan sitten etäpäätepisteeseen.
Pakettien nimet ovat "small-sm", "pern-valids", "lifeculer" ja "proc-title". Vaikka npm on poistanut ne arkistosta, kaikkien ne jo ladaneiden kehittäjien sovellukset ovat edelleen uhka.
Hakkerointi Discord Tokens
Discordin kohdistaminen tarjoaa laajan kattavuuden, koska varastettuja Discord-tunnuksia voidaan hyödyntää uhrien ystävien keihäänkalastelua varten. Mutta Derek Manky, Fortinetin FortiGuard Labsin turvallisuusstrategi ja globaalien uhkien tiedustelupalvelun varapuheenjohtaja, huomauttaa, että hyökkäyspinta vaihtelee tietysti organisaatioittain riippuen siitä, kuinka ne käyttävät multimediaviestintäalustaa.
"Uhataso ei olisi yhtä korkea kuin tason 1 puhkeaminen, kuten olemme nähneet aiemmin - esimerkiksi Log4j - näiden vektoreihin liittyvien hyökkäyspinnan ympärillä olevien käsitteiden vuoksi", hän selittää.
Discordin käyttäjillä on vaihtoehtoja suojautua tällaisilta hyökkäyksiltä: "Tietenkin, kuten kaikki kohdistetut sovellukset, tappamisketjun peittäminen on tehokas keino vähentää riskiä ja uhkatasoa", Manky sanoo.
Tämä tarkoittaa käytäntöjen määrittämistä Discordin asianmukaiselle käytölle käyttäjäprofiilien, verkon segmentoinnin ja muiden mukaan.
Miksi npm on suunnattu ohjelmistojen toimitusketjuhyökkäyksiin?
Npm-ohjelmistopakettivarastossa on yli 11 miljoonaa käyttäjää ja kymmeniä miljardeja latauksia sen ylläpitämistä paketeista. Sitä käyttävät sekä kokeneet Node.js-kehittäjät että ihmiset, jotka käyttävät sitä satunnaisesti osana muuta toimintaa.
Avoimen lähdekoodin npm-moduuleja käytetään sekä Node.js:n tuotantosovelluksissa että kehittäjien työkaluissa sovelluksille, jotka eivät muuten käyttäisi Nodea. Jos kehittäjä hankkii vahingossa haitallisen paketin rakentaakseen sovelluksen, haittaohjelma voi edelleen kohdistaa sovelluksen loppukäyttäjiin. Näin ollen tällaiset ohjelmistojen toimitusketjuhyökkäykset tarjoavat enemmän kattavuutta pienemmällä vaivalla kuin yksittäiseen yritykseen kohdistuvat hyökkäykset.
"Tämä yleinen käyttö kehittäjien keskuudessa tekee siitä suuren kohteen", sanoo Casey Bisson, tuote- ja kehittäjätoimintojen johtaja BluBracketista, kooditurvaratkaisujen toimittajasta.
Npm ei tarjoa vain hyökkäysvektoria suurelle määrälle kohteita, vaan kohteet itse ulottuvat loppukäyttäjien ulkopuolelle, Bisson sanoo.
"Yrityksillä ja yksittäisillä kehittäjillä on usein enemmän resursseja kuin keskimääräisellä väestöllä, ja sivuttaishyökkäykset sen jälkeen, kun ne ovat saavuttaneet rantapään kehittäjän koneessa tai yritysjärjestelmissä, ovat yleensä myös melko hedelmällisiä", hän lisää.
Garwood Pang, vanhempi tietoturvatutkija Tigerassa, joka tarjoaa konttien turvallisuutta ja havainnointia, huomauttaa, että vaikka npm on yksi suosituimmista JavaScriptin paketinhallintaohjelmista, kaikki eivät osaa käyttää sitä.
"Tämän avulla kehittäjät voivat käyttää valtavaa avoimen lähdekoodin pakettien kirjastoa parantaakseen koodiaan", hän sanoo. "Kuitenkin helppokäyttöisyyden ja listausten määrän vuoksi kokematon kehittäjä voi helposti tuoda haitallisia paketteja tietämättään."
Haitallisen paketin tunnistaminen ei kuitenkaan ole helppoa. Tim Mackey, Synopsys Cybersecurity Research Centerin tärkein turvallisuusstrategi, mainitsee tyypillisen NodeJS-paketin muodostavien komponenttien suuren määrän.
"Kysymys tunnistaa minkä tahansa toiminnon oikeat toteutukset on haastavaa, kun samaan ongelmaan on monia erilaisia laillisia ratkaisuja", hän sanoo. "Lisää haitallinen toteutus, johon muut komponentit voivat sitten viitata, ja saat reseptin, jossa kenenkään on vaikea määrittää, tekeekö heidän valitsemansa komponentti sen, mitä laatikossa lukee, eikä sisällä tai viittaa ei-toivottuihin toimivuus.”
Enemmän kuin npm: Ohjelmiston toimitusketjun hyökkäykset lisääntyvät
Suuret toimitusketjuhyökkäykset ovat olleet a merkittävä vaikutus ohjelmistojen tietoturvatietoisuuteen ja päätöksentekoon, ja hyökkäyspintojen valvontaan on suunniteltu lisää investointeja.
Mackey huomauttaa, että ohjelmistojen toimitusketjut ovat aina olleet kohteena, varsinkin kun tarkastellaan hyökkäyksiä, jotka kohdistuvat kehyksiin, kuten ostoskärryihin tai kehitystyökaluihin.
"Se, mitä näemme viime aikoina, on tunnustus, että hyökkäykset, joita käytimme luokittelemaan haittaohjelmiksi tai tietomurroiksi, ovat todellisuudessa kompromisseja luottamuksesta, jota organisaatiot asettavat ohjelmistoon, jota ne sekä luovat että kuluttavat", hän sanoo.
Mackey sanoo myös, että monet ihmiset olettivat, että myyjän luomat ohjelmistot olivat kokonaan kyseisen toimittajan kirjoittamia, mutta todellisuudessa saattaa olla satoja kolmannen osapuolen kirjastoja, jotka muodostavat jopa yksinkertaisimmat ohjelmistot – kuten kävi ilmi Log4j fiasko.
"Nämä kirjastot ovat käytännössä toimittajia ohjelmiston toimitusketjussa sovellukselle, mutta päätöksen minkä tahansa toimittajan käyttämisestä teki ominaisuusongelman ratkaiseva kehittäjä eikä liiketoimintariskeihin keskittynyt liikemies", hän sanoo.
Tämä on saanut vaatimuksen täytäntöönpanosta ohjelmistojen materiaalilaskut (SBOM). Ja toukokuussa MITER käynnistettiin
Tieto- ja viestintäteknologian (ICT) prototyyppikehys, joka määrittelee ja kvantifioi riskit ja turvallisuusongelmat toimitusketjussa – ohjelmistot mukaan lukien.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
