ארבע חבילות המכילות קוד Python ו-JavaScript זדוני מעורפל מאוד התגלו השבוע במאגר Node Package Manager (npm).
פי לדווח
מקספרסקי, החבילות הזדוניות הפיצו את התוכנות הזדוניות "Volt Stealer" ו-"Lofy Stealer", אוספות מידע מהקורבנות שלהן, כולל אסימוני Discord ופרטי כרטיסי אשראי, וריגול אחריהם לאורך זמן.
וולט Stealer משמש לגניבה אסימוני דיסקורד וקצור כתובות IP של אנשים מהמחשבים הנגועים, אשר מועלים לאחר מכן לשחקנים זדוניים באמצעות HTTP.
Lofy Stealer, איום שפותח לאחרונה, יכול להדביק קבצי לקוח של Discord ולנטר את פעולות הקורבן. לדוגמה, התוכנה הזדונית מזהה כאשר משתמש מתחבר, משנה פרטי דוא"ל או סיסמה, או מפעילה או משביתה אימות רב-גורמי (MFA). זה גם עוקב אחר מתי משתמש מוסיף אמצעי תשלום חדשים, ויקצור את פרטי כרטיס האשראי המלאים. המידע שנאסף מועלה לאחר מכן לנקודת קצה מרוחקת.
שמות החבילות הם "small-sm", "pern-valids", "lifeculer" ו-"proc-title". בעוד npm הסירה אותם מהמאגר, יישומים מכל מפתח שכבר הוריד אותם נשארים איום.
פריצת אסימוני דיסקורד
מיקוד ל-Discord מספק טווח הגעה רב מכיוון שניתן למנף אסימוני Discord גנובים לניסיונות דיוג בחנית על חברים של הקורבנות. אבל דרק מנקי, אסטרטג אבטחה ראשי וסגן נשיא למודיעין איומים עולמי במעבדות FortiGuard של Fortinet, מציין שמשטח ההתקפה ישתנה כמובן בין ארגונים, בהתאם לשימוש שלהם בפלטפורמת התקשורת המולטימדיה.
"רמת האיום לא תהיה גבוהה כמו התפרצות Tier 1 כמו שראינו בעבר - למשל, Log4j - בגלל המושגים האלה סביב משטח ההתקפה הקשורים לוקטורים האלה", הוא מסביר.
למשתמשי Discord יש אפשרויות להגן על עצמם מפני התקפות מסוג זה: "כמובן, כמו כל אפליקציה שממוקדת, כיסוי שרשרת ההרג הוא אמצעי יעיל להפחתת רמת הסיכון והאיום", אומר מנקי.
המשמעות היא הגדרת מדיניות לשימוש מתאים בדיסקורד בהתאם לפרופילי המשתמש, פילוח הרשת ועוד.
מדוע npm ממוקד להתקפות שרשרת אספקת תוכנה
למאגר חבילות התוכנה npm יש יותר מ-11 מיליון משתמשים ועשרות מיליארדי הורדות של החבילות שהוא מארח. הוא נמצא בשימוש הן על ידי מפתחי Node.js מנוסים והן על ידי אנשים המשתמשים בו כלאחר יד כחלק מפעילויות אחרות.
מודולי הקוד הפתוח npm משמשים הן ביישומי ייצור של Node.js והן בכלי מפתחים עבור יישומים שלא היו משתמשים ב-Node אחרת. אם מפתח מושך בטעות חבילה זדונית כדי לבנות אפליקציה, תוכנה זדונית זו יכולה להמשיך ולמקד את משתמשי הקצה של אותה אפליקציה. לפיכך, התקפות שרשרת אספקת תוכנה כמו אלה מספקות טווח הגעה רב יותר עבור פחות מאמץ מאשר התמקדות בחברה בודדת.
"השימוש בכל מקום בקרב מפתחים הופך אותו למטרה גדולה", אומר קייסי ביסון, ראש תחום התאמת מוצר ומפתחים ב-BluBracket, ספקית פתרונות אבטחת קוד.
Npm לא רק מספק וקטור התקפה למספר רב של מטרות, אלא שהמטרות עצמן חורגות מעבר למשתמשי הקצה, אומר ביסון.
"לארגונים ולמפתחים בודדים יש לרוב משאבים גדולים יותר מהאוכלוסייה הממוצעת, והתקפות לרוחב לאחר השגת ראש חוף במכונה של מפתח או במערכות ארגוניות הן בדרך כלל גם פוריות למדי", הוא מוסיף.
Garwood Pang, חוקר אבטחה בכיר ב-Tigera, ספקית אבטחה וצפייה לקונטיינרים, מציין שבעוד ש-npm מספקת את אחד ממנהלי החבילות הפופולריים ביותר עבור JavaScript, לא כולם מתמצאים כיצד להשתמש בו.
"זה מאפשר למפתחים גישה לספרייה ענקית של חבילות קוד פתוח כדי לשפר את הקוד שלהם", הוא אומר. "עם זאת, בשל קלות השימוש וכמות הרישום, מפתח חסר ניסיון יכול לייבא בקלות חבילות זדוניות ללא ידיעתו."
עם זאת, זה לא קל לזהות חבילה זדונית. טים מאקי, אסטרטג אבטחה ראשי ב-Synopsys Cybersecurity Research Center, מצטט את הכמות העצומה של רכיבים המרכיבים חבילת NodeJS טיפוסית.
"היכולת לזהות יישומים נכונים של כל פונקציונליות מאתגרת כאשר יש הרבה פתרונות לגיטימיים שונים לאותה בעיה", הוא אומר. "הוסף יישום זדוני שניתן להתייחס אליו על ידי רכיבים אחרים, וקיבלת מתכון שבו קשה לכל אחד לקבוע אם הרכיב שהוא בוחר עושה את מה שכתוב על הקופסה ואינו כולל או הפניה בלתי רצויה פונקציונליות."
יותר מ-npm: התקפות שרשרת אספקת התוכנה במגמת עלייה
התקפות גדולות בשרשרת האספקה היו א השפעה משמעותית על מודעות אבטחת תוכנה וקבלת החלטות, עם השקעה נוספת מתוכננת לניטור משטחי תקיפה.
Mackey מציין ששרשרות אספקת תוכנה תמיד היו מטרות, במיוחד כשמסתכלים על התקפות המכוונות למסגרות כמו עגלות קניות או כלי פיתוח.
"מה שאנחנו רואים לאחרונה הוא הכרה שהתקפות שהשתמשנו בהן כדי לסווג כתוכנות זדוניות או כהפרת נתונים הן למעשה פשרות של האמון שארגונים נותנים בתוכנה שהם גם יוצרים וגם צורכים", הוא אומר.
מאקי גם אומר שאנשים רבים הניחו שתוכנה שנוצרה על ידי ספק נכתבה במלואה על ידי אותו ספק, אבל, במציאות, יכולות להיות מאות ספריות של צד שלישי המרכיבות אפילו את התוכנה הפשוטה ביותר - כפי שהתגלה עם פיאסקו של Log4j.
"הספריות הללו הן למעשה ספקים בשרשרת אספקת התוכנה עבור האפליקציה, אבל ההחלטה להשתמש בכל ספק נתון התקבלה על ידי מפתח הפותר בעיית תכונה ולא על ידי איש עסקים המתמקד בסיכונים עסקיים", הוא אומר.
זה עורר קריאות ליישום של רשימות חומרי תוכנה (SBOM). ובמאי, MITER הושק
מסגרת אב טיפוס לטכנולוגיית מידע ותקשורת (ICT) המגדירה ומכמתת סיכונים וחששות אבטחה על שרשרת האספקה - כולל תוכנה.
