Quattro pacchetti contenenti codice Python e JavaScript dannoso altamente offuscato sono stati scoperti questa settimana nel repository Node Package Manager (npm).
Secondo un rapporto
di Kaspersky, i pacchetti dannosi diffondono il malware "Volt Stealer" e "Lofy Stealer", raccogliendo informazioni dalle loro vittime, inclusi token Discord e informazioni sulla carta di credito, e spiandole nel tempo.
Volt Stealer è usato per rubare Gettoni discordia e raccogliere gli indirizzi IP delle persone dai computer infetti, che vengono poi caricati su attori malintenzionati tramite HTTP.
Lofy Stealer, una minaccia di nuova concezione, può infettare i file del client Discord e monitorare le azioni della vittima. Ad esempio, il malware rileva quando un utente accede, modifica i dettagli dell'e-mail o della password o abilita o disabilita l'autenticazione a più fattori (MFA). Monitora anche quando un utente aggiunge nuovi metodi di pagamento e raccoglie tutti i dettagli della carta di credito. Le informazioni raccolte vengono quindi caricate su un endpoint remoto.
I nomi dei pacchetti sono "small-sm", "pern-valids", "lifeculer" e "proc-title". Sebbene npm li abbia rimossi dal repository, le applicazioni di qualsiasi sviluppatore che le abbia già scaricate rimangono una minaccia.
Hacking dei token Discord
Il targeting di Discord offre molta portata perché i token Discord rubati possono essere sfruttati per tentativi di spear-phishing sugli amici delle vittime. Ma Derek Manky, chief security strategist e vicepresidente dell'intelligence sulle minacce globali presso i FortiGuard Labs di Fortinet, sottolinea che la superficie di attacco varierà ovviamente tra le organizzazioni, a seconda del loro utilizzo della piattaforma di comunicazione multimediale.
"Il livello di minaccia non sarebbe così alto come un'epidemia di livello 1 come abbiamo visto in passato, ad esempio Log4j, a causa di questi concetti sulla superficie di attacco associata a questi vettori", spiega.
Gli utenti di Discord hanno opzioni per proteggersi da questo tipo di attacchi: "Naturalmente, come qualsiasi applicazione presa di mira, coprire la kill chain è una misura efficace per ridurre il rischio e il livello di minaccia", afferma Manky.
Ciò significa disporre di criteri impostati per un utilizzo appropriato di Discord in base ai profili utente, alla segmentazione della rete e altro ancora.
Perché npm è preso di mira per gli attacchi alla catena di fornitura di software
Il repository di pacchetti software npm ha più di 11 milioni di utenti e decine di miliardi di download dei pacchetti che ospita. Viene utilizzato sia da sviluppatori Node.js esperti che da persone che lo utilizzano casualmente come parte di altre attività.
I moduli npm open source vengono utilizzati sia nelle applicazioni di produzione Node.js sia negli strumenti per sviluppatori per applicazioni che altrimenti non utilizzerebbe Node. Se uno sviluppatore inserisce inavvertitamente un pacchetto dannoso per creare un'applicazione, quel malware può continuare a prendere di mira gli utenti finali di quell'applicazione. Pertanto, attacchi alla catena di fornitura di software come questi forniscono una portata maggiore con uno sforzo minore rispetto a quelli che prendono di mira una singola azienda.
"Questo uso onnipresente tra gli sviluppatori ne fa un grande obiettivo", afferma Casey Bisson, responsabile dell'abilitazione dei prodotti e degli sviluppatori presso BluBracket, un fornitore di soluzioni di sicurezza del codice.
Npm non fornisce solo un vettore di attacco a un gran numero di bersagli, ma anche gli stessi bersagli si estendono oltre gli utenti finali, afferma Bisson.
"Le aziende ei singoli sviluppatori spesso dispongono di risorse maggiori rispetto alla popolazione media e anche gli attacchi laterali dopo aver ottenuto una testa di ponte nella macchina o nei sistemi aziendali di uno sviluppatore sono generalmente piuttosto fruttuosi", aggiunge.
Garwood Pang, ricercatore senior di sicurezza presso Tigera, un fornitore di sicurezza e osservabilità per i container, sottolinea che mentre npm fornisce uno dei gestori di pacchetti più popolari per JavaScript, non tutti sanno come usarlo.
"Ciò consente agli sviluppatori di accedere a un'enorme libreria di pacchetti open source per migliorare il loro codice", afferma. "Tuttavia, a causa della facilità d'uso e della quantità di elenchi, uno sviluppatore inesperto può facilmente importare pacchetti dannosi a sua insaputa."
Tuttavia, non è un'impresa facile identificare un pacchetto dannoso. Tim Mackey, principale stratega della sicurezza presso il Synopsys Cybersecurity Research Center, cita l'enorme quantità di componenti che compongono un tipico pacchetto NodeJS.
"Essere in grado di identificare le implementazioni corrette di qualsiasi funzionalità è una sfida quando ci sono molte diverse soluzioni legittime allo stesso problema", afferma. "Aggiungi un'implementazione dannosa che può quindi essere referenziata da altri componenti e hai una ricetta in cui è difficile per chiunque determinare se il componente che stanno selezionando fa quello che dice sulla confezione e non include o fa riferimento a elementi indesiderati funzionalità."
Più che npm: attacchi alla catena di fornitura di software in aumento
I principali attacchi alla catena di approvvigionamento hanno avuto a impatto significativo sulla consapevolezza della sicurezza del software e sul processo decisionale, con maggiori investimenti pianificati per il monitoraggio delle superfici di attacco.
Mackey sottolinea che le catene di fornitura di software sono sempre state bersagli, in particolare quando si osservano attacchi mirati a framework come carrelli della spesa o strumenti di sviluppo.
"Quello che stiamo vedendo di recente è un riconoscimento che gli attacchi che abbiamo classificato come malware o come violazione dei dati sono in realtà compromessi della fiducia che le organizzazioni ripongono nel software che stanno creando e consumando", afferma.
Mackey afferma inoltre che molte persone presumevano che il software creato da un fornitore fosse interamente creato da quel fornitore, ma, in realtà, potrebbero esserci centinaia di librerie di terze parti che compongono anche il software più semplice, come è emerso con il Log4j fiasco.
"Quelle librerie sono effettivamente fornitori all'interno della catena di fornitura del software per l'applicazione, ma la decisione di utilizzare un determinato fornitore è stata presa da uno sviluppatore che risolve un problema di funzionalità e non da un uomo d'affari concentrato sui rischi aziendali", afferma.
Ciò ha richiesto chiamate per l'implementazione di distinte base software (SBOM). E, a maggio, MITRE lanciato
un quadro prototipo per la tecnologia dell'informazione e della comunicazione (ICT) che definisce e quantifica i rischi e le preoccupazioni per la sicurezza lungo la catena di approvvigionamento, compreso il software.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
