매우 난독화된 악성 Python 및 JavaScript 코드가 포함된 XNUMX개의 패키지가 이번 주 npm(노드 패키지 관리자) 저장소에서 발견되었습니다.
A에 따라 신고
Kaspersky의 악성 패키지는 'Volt Stealer' 및 'Lofy Stealer' 악성코드를 확산시켜 피해자로부터 Discord 토큰, 신용카드 정보 등의 정보를 수집하고 시간이 지남에 따라 감시합니다.
볼트 스틸러는 도둑질에 사용됩니다. 디스코드 토큰 감염된 컴퓨터에서 사람들의 IP 주소를 수집한 다음 HTTP를 통해 악의적인 행위자에게 업로드합니다.
새로 개발된 위협인 Lofy Stealer는 Discord 클라이언트 파일을 감염시키고 피해자의 행동을 모니터링할 수 있습니다. 예를 들어 악성코드는 사용자가 로그인할 때, 이메일이나 비밀번호 세부 정보를 변경할 때, 다단계 인증(MFA)을 활성화 또는 비활성화할 때를 탐지합니다. 또한 사용자가 새 결제 수단을 추가하는 시기를 모니터링하고 전체 신용카드 세부정보를 수집합니다. 수집된 정보는 원격 엔드포인트에 업로드됩니다.
패키지 이름은 "small-sm", "pern-valids", "lifeculer" 및 "proc-title"입니다. npm이 이를 저장소에서 제거했지만 이미 다운로드한 개발자의 애플리케이션은 여전히 위협입니다.
Discord 토큰 해킹
Discord 타겟팅은 도난당한 Discord 토큰을 피해자 친구에 대한 스피어 피싱 시도에 활용할 수 있기 때문에 광범위한 도달 범위를 제공합니다. 그러나 Fortinet FortiGuard Labs의 최고 보안 전략가이자 글로벌 위협 인텔리전스 담당 부사장인 Derek Manky는 멀티미디어 통신 플랫폼을 사용하는 조직에 따라 공격 표면이 조직마다 달라질 것이라고 지적합니다.
"이러한 벡터와 관련된 공격 표면에 대한 이러한 개념으로 인해 위협 수준은 과거에 보았던 것처럼 Log1j와 같이 Tier 4 발생만큼 높지 않을 것입니다."라고 그는 설명합니다.
Discord 사용자는 이러한 종류의 공격으로부터 자신을 보호할 수 있는 옵션이 있습니다. Manky는 “물론 표적이 되는 모든 애플리케이션과 마찬가지로 킬 체인을 덮는 것이 위험과 위협 수준을 줄이는 효과적인 방법입니다.”라고 말합니다.
이는 사용자 프로필, 네트워크 세분화 등에 따라 Discord를 적절하게 사용하기 위한 정책을 설정하는 것을 의미합니다.
npm이 소프트웨어 공급망 공격의 표적이 되는 이유
npm 소프트웨어 패키지 저장소에는 11만 명 이상의 사용자가 있으며 호스팅하는 패키지 다운로드 수는 수백억 건에 이릅니다. 숙련된 Node.js 개발자와 다른 활동의 일부로 부담 없이 사용하는 사람들 모두가 사용합니다.
오픈 소스 npm 모듈은 Node.js 프로덕션 애플리케이션과 Node.js를 사용하지 않는 애플리케이션용 개발자 도구 모두에서 사용됩니다. 개발자가 애플리케이션을 구축하기 위해 실수로 악성 패키지를 가져온 경우 해당 악성 코드는 계속해서 해당 애플리케이션의 최종 사용자를 표적으로 삼을 수 있습니다. 따라서 이와 같은 소프트웨어 공급망 공격은 개별 회사를 표적으로 삼는 것보다 더 적은 노력으로 더 많은 도달 범위를 제공합니다.
코드 보안 솔루션 제공업체인 BluBracket의 제품 및 개발자 지원 책임자인 Casey Bisson은 "개발자들 사이에서 이러한 보편적인 사용은 큰 표적이 됩니다."라고 말합니다.
Npm은 수많은 대상에게 공격 벡터를 제공할 뿐만 아니라 대상 자체가 최종 사용자를 넘어 확장된다고 Bisson은 말합니다.
"기업과 개인 개발자 모두 평균 인구보다 더 많은 리소스를 보유하는 경우가 많으며, 개발자의 기계나 기업 시스템에서 교두보를 확보한 후의 측면 공격도 일반적으로 상당히 효과적입니다."라고 그는 덧붙입니다.
컨테이너에 대한 보안 및 관찰 가능성 제공업체인 Tigera의 수석 보안 연구원인 Garwood Pang은 npm이 가장 인기 있는 JavaScript용 패키지 관리자 중 하나를 제공하지만 모든 사람이 이를 사용하는 방법에 정통한 것은 아니라고 지적합니다.
“이를 통해 개발자는 거대한 오픈 소스 패키지 라이브러리에 액세스하여 코드를 향상할 수 있습니다.”라고 그는 말합니다. “그러나 사용 편의성과 목록의 양으로 인해 경험이 부족한 개발자도 자신도 모르게 악성 패키지를 쉽게 가져올 수 있습니다.”
하지만 악성 패키지를 식별하는 것은 쉬운 일이 아닙니다. Synopsys Cybersecurity Research Center의 주요 보안 전략가인 Tim Mackey는 일반적인 NodeJS 패키지를 구성하는 엄청난 양의 구성 요소를 인용합니다.
“동일한 문제에 대해 다양한 합법적인 솔루션이 있을 경우 어떤 기능의 올바른 구현을 식별할 수 있는지 확인하는 것이 어렵습니다.”라고 그는 말합니다. “다른 구성 요소에서 참조할 수 있는 악의적인 구현을 추가하면 자신이 선택한 구성 요소가 상자에 적힌 대로 작동하는지, 바람직하지 않은 구성 요소를 포함하거나 참조하지 않는지 누구라도 판단하기 어려운 방법을 얻게 됩니다. 기능성.”
npm 그 이상: 증가하는 소프트웨어 공급망 공격
주요 공급망 공격은 눈에 띄는 영향 소프트웨어 보안 인식 및 의사 결정에 대해 공격 표면 모니터링을 위한 추가 투자 계획을 세웠습니다.
Mackey는 소프트웨어 공급망이 항상 표적이 되어 왔다고 지적합니다. 특히 장바구니나 개발 도구와 같은 프레임워크를 표적으로 삼는 공격을 볼 때 더욱 그렇습니다.
“최근 우리가 보고 있는 것은 우리가 맬웨어 또는 데이터 유출로 분류했던 공격이 실제로는 조직이 만들고 사용하는 소프트웨어에 대한 신뢰를 침해한다는 인식입니다.”라고 그는 말합니다.
Mackey는 또한 많은 사람들이 공급업체가 만든 소프트웨어가 전적으로 해당 공급업체에 의해 제작되었다고 가정했지만 실제로는 가장 단순한 소프트웨어라도 수백 개의 타사 라이브러리가 있을 수 있다고 말했습니다. Log4j 실패.
"이러한 라이브러리는 사실상 애플리케이션을 위한 소프트웨어 공급망 내의 공급업체입니다. 그러나 특정 공급업체를 사용하기로 한 결정은 비즈니스 위험에 집중하는 사업가가 아니라 기능 문제를 해결하는 개발자가 내린 것입니다."라고 그는 말합니다.
이에 따라 구현에 대한 요구가 촉발되었습니다. 소프트웨어 재료 명세서(SBOM). 그리고 XNUMX월에는 MITRE 시작
소프트웨어를 포함한 공급망에 대한 위험과 보안 문제를 정의하고 정량화하는 정보통신기술(ICT)을 위한 프로토타입 프레임워크입니다.
