A Node Package Manager (npm) lerakatában ezen a héten négy olyan csomagot fedeztek fel, amelyek erősen zavart, rosszindulatú Python- és JavaScript-kódot tartalmaztak.
A találmány egy jelentést
a Kaspersky-től a rosszindulatú csomagok a „Volt Stealer” és a „Lofy Stealer” kártevőket terjesztik, információkat gyűjtenek áldozataiktól, köztük Discord tokeneket és hitelkártyaadatokat, és idővel kémkednek utánuk.
A Volt Stealert lopásra használják Discord tokenek és legyűjti az emberek IP-címeit a fertőzött számítógépekről, amelyeket aztán HTTP-n keresztül tölt fel a rosszindulatú szereplőknek.
A Lofy Stealer, egy újonnan kifejlesztett fenyegetés megfertőzheti a Discord kliens fájljait, és figyelemmel kísérheti az áldozat cselekedeteit. A rosszindulatú program például észleli, ha a felhasználó bejelentkezik, megváltoztatja az e-mail-címét vagy a jelszavát, vagy engedélyezi vagy letiltja a többtényezős hitelesítést (MFA). Azt is figyeli, ha a felhasználó új fizetési módokat ad hozzá, és begyűjti a teljes hitelkártyaadatot. Az összegyűjtött információk ezután feltöltésre kerülnek egy távoli végpontra.
A csomagnevek: „small-sm”, „pern-valids”, „lifeculer” és „proc-title”. Míg az npm eltávolította őket a tárolóból, az azokat már letöltő fejlesztők alkalmazásai továbbra is fenyegetést jelentenek.
Discord tokenek feltörése
A Discord megcélzása nagy elérést biztosít, mivel az ellopott Discord tokenek felhasználhatók az áldozatok barátai elleni lándzsás adathalász kísérletekre. De Derek Manky, a Fortinet FortiGuard Labs globális fenyegetések hírszerzési részlegének fő biztonsági stratégája és alelnöke rámutat, hogy a támadások felülete természetesen eltérő lesz a szervezetek között, attól függően, hogy a multimédiás kommunikációs platformot használják.
„A fenyegetettség szintje nem lenne olyan magas, mint egy Tier 1-es járvány kitörése, mint ahogyan azt a múltban láthattuk – például a Log4j-nél – az ezekhez a vektorokhoz kapcsolódó támadási felület körüli fogalmak miatt” – magyarázza.
A Discord felhasználóinak lehetőségük van arra, hogy megvédjék magukat az ilyen típusú támadásoktól: „Természetesen, mint minden célzott alkalmazás, a gyilkossági lánc lefedése hatékony intézkedés a kockázatok és a fenyegetettség szintjének csökkentésére” – mondja Manky.
Ez azt jelenti, hogy házirendeket kell beállítani a Discord megfelelő használatához a felhasználói profiloknak, a hálózati szegmentációnak és egyebeknek megfelelően.
Miért célozzák meg az npm-et a szoftverellátási lánc támadásaira?
Az npm szoftvercsomag-tárhelynek több mint 11 millió felhasználója van, és több tízmilliárd letöltése van az általa tárolt csomagoknak. Tapasztalt Node.js fejlesztők és olyan emberek is használják, akik véletlenül használják más tevékenységek részeként.
A nyílt forráskódú npm modulokat a Node.js éles alkalmazásokban és az olyan alkalmazások fejlesztői eszközeiben is használják, amelyek egyébként nem használnák a Node-ot. Ha egy fejlesztő véletlenül rosszindulatú csomagot von be egy alkalmazás létrehozásához, a rosszindulatú program az adott alkalmazás végfelhasználóit célozhatja meg. Így az ilyen jellegű szoftver-ellátási lánc támadások nagyobb elérést biztosítanak kevesebb erőfeszítéssel, mint egy egyedi vállalatot célzó támadások.
„A fejlesztők körében mindenütt elterjedt használat nagy célponttá teszi” – mondja Casey Bisson, a BluBracket, a kódbiztonsági megoldásokat szolgáltató BluBracket termék- és fejlesztői engedélyezési részlegének vezetője.
Az Npm nemcsak támadási vektort biztosít nagyszámú célpont számára, hanem azt is, hogy maguk a célok túlmutatnak a végfelhasználókon, mondja Bisson.
„A vállalatok és az egyéni fejlesztők is gyakran nagyobb erőforrásokkal rendelkeznek, mint az átlagos lakosság, és a fejlesztő gépein vagy vállalati rendszerein túljutást követő oldalirányú támadások is általában meglehetősen gyümölcsözőek” – teszi hozzá.
Garwood Pang, a Tigera, a konténerek biztonságával és megfigyelhetőségével foglalkozó vezető biztonsági kutatója rámutat, hogy bár az npm a JavaScript egyik legnépszerűbb csomagkezelője, nem mindenki jártas a használatában.
"Ez lehetővé teszi a fejlesztők számára a nyílt forráskódú csomagok hatalmas könyvtárához való hozzáférést, hogy javítsák kódjukat" - mondja. "Azonban a könnyű használhatóság és a listázások mennyisége miatt egy tapasztalatlan fejlesztő könnyen importálhat rosszindulatú csomagokat a tudta nélkül."
Nem könnyű azonban azonosítani egy rosszindulatú csomagot. Tim Mackey, a Synopsys Cybersecurity Research Center fő biztonsági stratégája a tipikus NodeJS csomagot alkotó összetevők puszta mennyiségére hivatkozik.
„Bármilyen funkcionalitás helyes megvalósításának azonosítása kihívást jelent, ha ugyanarra a problémára sok különböző legitim megoldás létezik” – mondja. "Adjon hozzá egy rosszindulatú implementációt, amelyre más összetevők hivatkozhatnak, és kap egy receptet, ahol bárki számára nehéz megállapítani, hogy az általa kiválasztott összetevő azt csinálja-e, amit a dobozon ír, és nem tartalmaz-e nemkívánatos hivatkozást. funkcionalitás.”
Több mint npm: Szoftver-ellátási lánc támadások növekszik
Jelentős ellátási lánc támadások voltak a jelentős hatással van a szoftverbiztonsági tudatosság és a döntéshozatal terén, több beruházást terveznek a támadási felületek figyelésére.
Mackey rámutat arra, hogy a szoftverellátási láncok mindig is célpontok voltak, különösen, ha az olyan keretrendszereket célzó támadásokat nézzük, mint a bevásárlókocsik vagy a fejlesztői eszközök.
„Amit mostanában látunk, az annak felismerése, hogy az általunk rosszindulatú programokként vagy adatszivárgásként besorolt támadások valójában a szervezetek által az általuk létrehozott és felhasznált szoftverbe vetett bizalom kompromittálása” – mondja.
Mackey azt is elmondja, hogy sokan azt feltételezték, hogy egy szállító által létrehozott szoftvert teljes egészében az adott szállító szerzője, de a valóságban több száz külső féltől származó könyvtár is lehet, amelyek még a legegyszerűbb szoftvereket is alkotják – amint az a Log4j fiaskó.
„Ezek a könyvtárak gyakorlatilag beszállítói az alkalmazás szoftverellátási láncán belül, de a döntést egy adott beszállító használatáról egy szolgáltatásproblémát megoldó fejlesztő hozta meg, nem pedig az üzleti kockázatokra koncentráló üzletember” – mondja.
Ez felhívásokat váltott ki a végrehajtására szoftveres anyagjegyzékek (SBOM). Májusban pedig MITRE indított
az információs és kommunikációs technológia (IKT) prototípus-keretrendszere, amely meghatározza és számszerűsíti a kockázatokat és a biztonsági aggályokat az ellátási láncban – beleértve a szoftvereket is.