Empat paket berisi kode Python dan JavaScript berbahaya yang sangat dikaburkan ditemukan minggu ini di repositori Node Package Manager (npm).
Menurut melaporkan
dari Kaspersky, paket jahat tersebut menyebarkan malware โVolt Stealerโ dan โLofy Stealerโ, mengumpulkan informasi dari korbannya, termasuk token Discord dan informasi kartu kredit, dan memata-matai mereka dari waktu ke waktu.
Volt Stealer digunakan untuk mencuri Token perselisihan dan mengambil alamat IP orang dari komputer yang terinfeksi, yang kemudian diunggah ke pelaku jahat melalui HTTP.
Lofy Stealer, ancaman yang baru dikembangkan, dapat menginfeksi file klien Discord dan memantau tindakan korbannya. Misalnya, malware mendeteksi saat pengguna masuk, mengubah detail email atau kata sandi, atau mengaktifkan atau menonaktifkan autentikasi multifaktor (MFA). Itu juga memantau ketika pengguna menambahkan metode pembayaran baru, dan akan mengumpulkan rincian lengkap kartu kredit. Informasi yang dikumpulkan kemudian diunggah ke titik akhir jarak jauh.
Nama paketnya adalah โsmall-smโ, โpern-validsโ, โlifeculerโ, dan โproc-titleโ. Meskipun npm telah menghapusnya dari repositori, aplikasi dari pengembang mana pun yang telah mengunduhnya tetap menjadi ancaman.
Meretas Token Perselisihan
Menargetkan Discord memberikan banyak jangkauan karena token Discord yang dicuri dapat dimanfaatkan untuk upaya spear-phishing pada teman korban. Namun Derek Manky, kepala strategi keamanan dan wakil presiden intelijen ancaman global di FortiGuard Labs Fortinet, menyatakan bahwa permukaan serangan tentu saja akan bervariasi antar organisasi, tergantung pada penggunaan platform komunikasi multimedia.
โTingkat ancamannya tidak akan setinggi wabah Tingkat 1 seperti yang kita lihat di masa lalu โ misalnya, Log4j โ karena konsep di sekitar permukaan serangan yang terkait dengan vektor-vektor ini,โ jelasnya.
Pengguna Discord memiliki opsi untuk melindungi diri mereka dari serangan semacam ini: โTentu saja, seperti aplikasi apa pun yang ditargetkan, menutup rantai pembunuhan adalah langkah efektif untuk mengurangi risiko dan tingkat ancaman,โ kata Manky.
Ini berarti menyiapkan kebijakan untuk penggunaan Discord yang sesuai dengan profil pengguna, segmentasi jaringan, dan banyak lagi.
Mengapa npm Ditargetkan untuk Serangan Rantai Pasokan Perangkat Lunak
Repositori paket perangkat lunak npm memiliki lebih dari 11 juta pengguna dan puluhan miliar unduhan paket yang dihostingnya. Ini digunakan baik oleh pengembang Node.js berpengalaman maupun orang-orang yang menggunakannya dengan santai sebagai bagian dari aktivitas lainnya.
Modul npm open source digunakan baik dalam aplikasi produksi Node.js dan alat pengembang untuk aplikasi yang tidak akan menggunakan Node.js. Jika pengembang secara tidak sengaja menarik paket jahat untuk membangun sebuah aplikasi, malware tersebut dapat terus menargetkan pengguna akhir aplikasi tersebut. Oleh karena itu, serangan rantai pasokan perangkat lunak seperti ini memberikan jangkauan yang lebih luas dengan upaya yang lebih sedikit dibandingkan menargetkan perusahaan individual.
โPenggunaannya yang meluas di kalangan pengembang menjadikannya target yang besar,โ kata Casey Bisson, kepala produk dan pemberdayaan pengembang di BluBracket, penyedia solusi keamanan kode.
Npm tidak hanya memberikan vektor serangan ke sejumlah besar target, namun target itu sendiri melampaui pengguna akhir, kata Bisson.
โPerusahaan dan pengembang individu sering kali memiliki sumber daya yang lebih besar daripada rata-rata populasi, dan serangan lateral setelah mendapatkan tempat berpijak pada mesin pengembang atau sistem perusahaan umumnya juga cukup membuahkan hasil,โ tambahnya.
Garwood Pang, peneliti keamanan senior di Tigera, penyedia keamanan dan observabilitas untuk container, menunjukkan bahwa meskipun npm menyediakan salah satu pengelola paket paling populer untuk JavaScript, tidak semua orang paham cara menggunakannya.
โHal ini memungkinkan pengembang mengakses perpustakaan besar paket sumber terbuka untuk menyempurnakan kode mereka,โ katanya. โNamun, karena kemudahan penggunaan dan banyaknya listing, pengembang yang tidak berpengalaman dapat dengan mudah mengimpor paket berbahaya tanpa sepengetahuan mereka.โ
Namun, tidak mudah untuk mengidentifikasi paket berbahaya. Tim Mackey, ahli strategi keamanan utama di Synopsys Cybersecurity Research Center, mengutip banyaknya komponen yang membentuk paket NodeJS pada umumnya.
โKemampuan mengidentifikasi implementasi yang benar dari fungsi apa pun menjadi tantangan ketika terdapat banyak solusi sah yang berbeda untuk masalah yang sama,โ katanya. โTambahkan implementasi berbahaya yang kemudian dapat direferensikan oleh komponen lain, dan Anda akan mendapatkan resep yang menyulitkan siapa pun untuk menentukan apakah komponen yang mereka pilih sesuai dengan yang tertulis di kotak dan tidak menyertakan atau mereferensikan hal yang tidak diinginkan. Kegunaan."
Lebih dari npm: Serangan Rantai Pasokan Perangkat Lunak Meningkat
Serangan rantai pasokan besar telah berdampak pada a dampak signifikan pada kesadaran keamanan perangkat lunak dan pengambilan keputusan, dengan lebih banyak investasi yang direncanakan untuk memantau permukaan serangan.
Mackey menunjukkan bahwa rantai pasokan perangkat lunak selalu menjadi target, terutama ketika kita melihat serangan yang menargetkan kerangka kerja seperti keranjang belanja atau alat pengembangan.
โApa yang kami lihat baru-baru ini adalah pengakuan bahwa serangan yang biasa kami kategorikan sebagai malware atau pelanggaran data pada kenyataannya merupakan kompromi atas kepercayaan yang diberikan organisasi terhadap perangkat lunak yang mereka buat dan konsumsi,โ katanya.
Mackey juga mengatakan bahwa banyak orang berasumsi bahwa perangkat lunak yang dibuat oleh suatu vendor sepenuhnya dibuat oleh vendor tersebut, namun, pada kenyataannya, mungkin ada ratusan perpustakaan pihak ketiga yang membuat perangkat lunak yang paling sederhana sekalipun โ seperti yang terungkap dalam makalah ini. kegagalan Log4j.
โPerpustakaan tersebut sebenarnya merupakan pemasok dalam rantai pasokan perangkat lunak untuk aplikasi tersebut, namun keputusan untuk menggunakan pemasok tertentu dibuat oleh pengembang yang memecahkan masalah fitur dan bukan oleh pebisnis yang berfokus pada risiko bisnis,โ katanya.
Hal ini mendorong seruan untuk penerapan tagihan bahan perangkat lunak (SBOM). Dan, pada bulan Mei, MITRE diluncurkan
kerangka kerja prototipe untuk teknologi informasi dan komunikasi (TIK) yang mendefinisikan dan mengukur risiko dan masalah keamanan pada rantai pasokan โ termasuk perangkat lunak.
