A Node Package Manager (npm) lerakatában ezen a héten négy olyan csomagot fedeztek fel, amelyek erősen zavart, rosszindulatú Python- és JavaScript-kódot tartalmaztak.
A találmány egy jelentést
from Kaspersky, the malicious packages spread the “Volt Stealer” and “Lofy Stealer” malware, collecting information from their victims, including Discord tokens and credit card information, and spying on them over time.
A Volt Stealert lopásra használják Discord tokenek and harvest people’s IP addresses from the infected computers, which are then uploaded to malicious actors via HTTP.
Lofy Stealer, a newly developed threat, can infect Discord client files and monitor the victim’s actions. For example, the malware detects when a user logs in, changes email or password details, or enables or disables multifactor authentication (MFA). It also monitors when a user adds new payment methods, and will harvest full credit card details. The collected information is then uploaded to a remote endpoint.
The package names are “small-sm,” “pern-valids,” “lifeculer,” and “proc-title.” While npm has removed them from the repository, applications from any developer who already downloaded them remain a threat.
Discord tokenek feltörése
Targeting Discord provides a lot of reach because stolen Discord tokens can be leveraged for spear-phishing attempts on victims’ friends. But Derek Manky, chief security strategist and vice president of global threat intelligence at Fortinet’s FortiGuard Labs, points out that the attack surface will of course vary among organizations, depending on their use of the multimedia communications platform.
“The threat level would not be as high as a Tier 1 outbreak like we have seen in the past — for example, Log4j — due to these concepts around the attack surface associated with these vectors,” he explains.
Users of Discord have options to protect themselves from these kinds of attacks: “Of course, like any application that is targeted, covering the kill chain is an effective measure to reduce risk and threat level,” Manky says.
Ez azt jelenti, hogy házirendeket kell beállítani a Discord megfelelő használatához a felhasználói profiloknak, a hálózati szegmentációnak és egyebeknek megfelelően.
Miért célozzák meg az npm-et a szoftverellátási lánc támadásaira?
Az npm szoftvercsomag-tárhelynek több mint 11 millió felhasználója van, és több tízmilliárd letöltése van az általa tárolt csomagoknak. Tapasztalt Node.js fejlesztők és olyan emberek is használják, akik véletlenül használják más tevékenységek részeként.
The open source npm modules are used both in Node.js production applications and in developer tooling for applications that wouldn’t otherwise use Node. If a developer inadvertently pulls in a malicious package to build an application, that malware can go on to target the end users of that application. Thus, software supply chain attacks like these provide more reach for less effort than targeting an individual company.
“That ubiquitous use among developers makes it a big target,” says Casey Bisson, head of product and developer enablement at BluBracket, a provider code security solutions.
Npm doesn’t just provide an attack vector to large numbers of targets, but that the targets themselves extend beyond end users, Bisson says.
“Enterprises and individual developers both often have greater resources than the average population, and lateral attacks after gaining a beachhead in a developer’s machine or enterprise systems are generally also rather fruitful,” he adds.
Garwood Pang, a Tigera, a konténerek biztonságával és megfigyelhetőségével foglalkozó vezető biztonsági kutatója rámutat, hogy bár az npm a JavaScript egyik legnépszerűbb csomagkezelője, nem mindenki jártas a használatában.
“This allows developers access to a huge library of open source packages to enhance their code,” he says. “However, due to the ease of use and the amount of listing, an inexperienced developer can easily import malicious packages without their knowledge.”
It’s no easy feat, though, to identify a malicious package. Tim Mackey, principal security strategist at the Synopsys Cybersecurity Research Center, cites the sheer quantity of components making up a typical NodeJS package.
“Being able to identify correct implementations of any functionality is challenged when there are many different legitimate solutions to the same problem,” he says. “Add in a malicious implementation that can then be referenced by other components, and you’ve got a recipe where it’s difficult for anyone to determine if the component they are selecting does what it says on the box and doesn’t include or reference undesirable functionality.”
Több mint npm: Szoftver-ellátási lánc támadások növekszik
Jelentős ellátási lánc támadások voltak a jelentős hatással van a szoftverbiztonsági tudatosság és a döntéshozatal terén, több beruházást terveznek a támadási felületek figyelésére.
Mackey rámutat arra, hogy a szoftverellátási láncok mindig is célpontok voltak, különösen, ha az olyan keretrendszereket célzó támadásokat nézzük, mint a bevásárlókocsik vagy a fejlesztői eszközök.
“What we’re seeing recently is a recognition that attacks we used to categorize as malware or as a data breach are in reality compromises of the trust organizations place in the software they’re both creating and consuming,” he says.
Mackey azt is elmondja, hogy sokan azt feltételezték, hogy egy szállító által létrehozott szoftvert teljes egészében az adott szállító szerzője, de a valóságban több száz külső féltől származó könyvtár is lehet, amelyek még a legegyszerűbb szoftvereket is alkotják – amint az a Log4j fiaskó.
“Those libraries are effectively suppliers within the software supply chain for the application, but the decision to use any given supplier was made by a developer solving a feature problem and not by a businessperson focused on business risks,” he says.
That’s prompted calls for the implementation of szoftveres anyagjegyzékek (SBOM). Májusban pedig MITRE indított
az információs és kommunikációs technológia (IKT) prototípus-keretrendszere, amely meghatározza és számszerűsíti a kockázatokat és a biztonsági aggályokat az ellátási láncban – beleértve a szoftvereket is.
