Vier pakketten met zeer onduidelijke kwaadaardige Python- en JavaScript-code zijn deze week ontdekt in de Node Package Manager (npm)-repository.
Volgens een verslag
van Kaspersky verspreidden de kwaadaardige pakketten de malware โVolt Stealerโ en โLofy Stealerโ, waarbij ze informatie van hun slachtoffers verzamelden, waaronder Discord-tokens en creditcardgegevens, en deze in de loop van de tijd bespioneerden.
Volt Stealer wordt gebruikt om te stelen Onenigheidsfiches en de IP-adressen van mensen verzamelen van de geรฏnfecteerde computers, die vervolgens via HTTP naar kwaadwillende actoren worden geรผpload.
Lofy Stealer, een nieuw ontwikkelde bedreiging, kan Discord-clientbestanden infecteren en de acties van het slachtoffer volgen. De malware detecteert bijvoorbeeld wanneer een gebruiker inlogt, e-mail- of wachtwoordgegevens wijzigt, of multifactorauthenticatie (MFA) in- of uitschakelt. Het controleert ook wanneer een gebruiker nieuwe betaalmethoden toevoegt en verzamelt de volledige creditcardgegevens. De verzamelde informatie wordt vervolgens geรผpload naar een extern eindpunt.
De pakketnamen zijn โsmall-smโ, โpern-validsโ, โlifeculerโ en โproc-titleโ. Hoewel npm ze uit de repository heeft verwijderd, blijven applicaties van elke ontwikkelaar die ze al heeft gedownload een bedreiging.
Discord-tokens hacken
Het richten op Discord biedt veel bereik omdat gestolen Discord-tokens kunnen worden gebruikt voor spearphishing-pogingen op de vrienden van slachtoffers. Maar Derek Manky, hoofdveiligheidsstrateeg en vice-president van Global Threat Intelligence bij FortiGuard Labs van Fortinet, wijst erop dat het aanvalsoppervlak uiteraard per organisatie zal variรซren, afhankelijk van hun gebruik van het multimediacommunicatieplatform.
โHet dreigingsniveau zou niet zo hoog zijn als bij een Tier 1-uitbraak zoals we in het verleden hebben gezien โ bijvoorbeeld Log4j โ vanwege deze concepten rond het aanvalsoppervlak dat met deze vectoren gepaard gaatโ, legt hij uit.
Gebruikers van Discord hebben opties om zichzelf tegen dit soort aanvallen te beschermen: โNatuurlijk is het afdekken van de kill-keten, net als bij elke applicatie die het doelwit is, een effectieve maatregel om het risico en het dreigingsniveau te verminderenโ, zegt Manky.
Dit betekent dat er beleid moet worden ingesteld voor het juiste gebruik van Discord op basis van gebruikersprofielen, netwerksegmentatie en meer.
Waarom npm het doelwit is van software supply chain-aanvallen
De npm-softwarepakketrepository heeft meer dan 11 miljoen gebruikers en tientallen miljarden downloads van de pakketten die het host. Het wordt zowel gebruikt door ervaren Node.js-ontwikkelaars als door mensen die het terloops gebruiken als onderdeel van andere activiteiten.
De open source npm-modules worden zowel gebruikt in Node.js-productietoepassingen als in ontwikkelaarstools voor toepassingen die anders Node.js niet zouden gebruiken. Als een ontwikkelaar per ongeluk een kwaadaardig pakket binnenhaalt om een โโapplicatie te bouwen, kan die malware zich vervolgens richten op de eindgebruikers van die applicatie. Dergelijke aanvallen op de toeleveringsketen van software bieden dus meer bereik met minder inspanning dan wanneer ze zich op een individueel bedrijf richten.
โDat alomtegenwoordige gebruik onder ontwikkelaars maakt het tot een groot doelwitโ, zegt Casey Bisson, hoofd product- en developer enablement bij BluBracket, een leverancier van codebeveiligingsoplossingen.
Npm biedt niet alleen een aanvalsvector voor grote aantallen doelen, maar dat de doelen zelf verder reiken dan de eindgebruikers, zegt Bisson.
โBedrijven en individuele ontwikkelaars beschikken allebei vaak over meer middelen dan de gemiddelde bevolking, en laterale aanvallen na het veroveren van een bruggenhoofd in de machine van een ontwikkelaar of bedrijfssystemen zijn over het algemeen ook behoorlijk vruchtbaarโ, voegt hij eraan toe.
Garwood Pang, senior beveiligingsonderzoeker bij Tigera, een aanbieder van beveiliging en waarneembaarheid voor containers, wijst erop dat hoewel npm een โโvan de meest populaire pakketbeheerders voor JavaScript biedt, niet iedereen handig is met het gebruik ervan.
โHierdoor hebben ontwikkelaars toegang tot een enorme bibliotheek met open source-pakketten om hun code te verbeterenโ, zegt hij. โVanwege het gebruiksgemak en de hoeveelheid vermeldingen kan een onervaren ontwikkelaar echter gemakkelijk kwaadaardige pakketten importeren zonder dat hij het weet.โ
Het is echter geen eenvoudige opgave om een โโkwaadaardig pakket te identificeren. Tim Mackey, hoofdbeveiligingsstrateeg bij het Synopsys Cybersecurity Research Center, noemt de enorme hoeveelheid componenten waaruit een typisch NodeJS-pakket bestaat.
โHet is een uitdaging om correcte implementaties van welke functionaliteit dan ook te identificeren als er veel verschillende legitieme oplossingen zijn voor hetzelfde probleemโ, zegt hij. โVoeg daar een kwaadaardige implementatie aan toe waar vervolgens door andere componenten naar kan worden verwezen, en je hebt een recept waarbij het voor iedereen moeilijk is om te bepalen of de component die ze selecteren doet wat er op de doos staat en geen ongewenste programmaโs bevat of ernaar verwijst. functionaliteit.โ
Meer dan npm: aanvallen op de software-toeleveringsketen nemen toe
Grote aanvallen op de toeleveringsketen hebben een aanzienlijke impact op softwarebeveiligingsbewustzijn en besluitvorming, met meer investeringen gepland voor het monitoren van aanvalsoppervlakken.
Mackey wijst erop dat softwaretoeleveringsketens altijd het doelwit zijn geweest, vooral als je kijkt naar aanvallen die zich richten op raamwerken zoals winkelwagentjes of ontwikkelingstools.
โWat we de laatste tijd zien is de erkenning dat aanvallen die we vroeger categoriseerden als malware of als een datalek, in werkelijkheid een schending zijn van het vertrouwen dat organisaties stellen in de software die ze maken en gebruikenโ, zegt hij.
Mackey zegt ook dat veel mensen ervan uitgingen dat software die door een leverancier was gemaakt volledig door die leverancier was geschreven, maar dat er in werkelijkheid honderden bibliotheken van derden kunnen zijn die zelfs de eenvoudigste software vormen โ zoals aan het licht kwam met de Log4j-fiasco.
โDeze bibliotheken zijn in feite leveranciers binnen de software-toeleveringsketen voor de applicatie, maar de beslissing om een โโbepaalde leverancier te gebruiken werd genomen door een ontwikkelaar die een functieprobleem oploste en niet door een zakenman die zich op bedrijfsrisicoโs concentreerdeโ, zegt hij.
Dat roept oproepen op tot de implementatie van software stuklijsten (SBOM's). En in mei MITRE gelanceerd
een prototype raamwerk voor informatie- en communicatietechnologie (ICT) dat risico's en veiligheidsproblemen in de toeleveringsketen definieert en kwantificeert, inclusief software.
