Fire pakker som inneholder svært skjult ondsinnet Python- og JavaScript-kode ble oppdaget denne uken i Node Package Manager (npm)-depotet.
Ifølge en rapporterer
fra Kaspersky sprer de ondsinnede pakkene «Volt Stealer» og «Lofy Stealer»-malware, samler informasjon fra ofrene deres, inkludert Discord-tokens og kredittkortinformasjon, og spionerer på dem over tid.
Volt Stealer brukes til å stjele Discord-tokens og hente inn folks IP-adresser fra de infiserte datamaskinene, som deretter lastes opp til ondsinnede aktører via HTTP.
Lofy Stealer, en nyutviklet trussel, kan infisere Discord-klientfiler og overvåke offerets handlinger. For eksempel oppdager skadelig programvare når en bruker logger på, endrer e-post- eller passorddetaljer, eller aktiverer eller deaktiverer multifaktorautentisering (MFA). Den overvåker også når en bruker legger til nye betalingsmåter, og samler inn fullstendige kredittkortopplysninger. Den innsamlede informasjonen lastes deretter opp til et eksternt endepunkt.
Pakkenavnene er «small-sm», «pern-valids», «lifeculer» og «proc-title». Mens npm har fjernet dem fra depotet, forblir apper fra utviklere som allerede har lastet dem ned en trussel.
Hacking Discord-tokens
Målretting mot Discord gir stor rekkevidde fordi stjålne Discord-tokens kan utnyttes til spyd-phishing-forsøk på ofrenes venner. Men Derek Manky, sjefssikkerhetsstrateg og visepresident for global trusseletterretning ved Fortinets FortiGuard Labs, påpeker at angrepsoverflaten selvfølgelig vil variere mellom organisasjoner, avhengig av deres bruk av multimediakommunikasjonsplattformen.
"Trusselnivået ville ikke være så høyt som et Tier 1-utbrudd som vi har sett tidligere - for eksempel Log4j - på grunn av disse konseptene rundt angrepsoverflaten assosiert med disse vektorene," forklarer han.
Brukere av Discord har muligheter for å beskytte seg mot denne typen angrep: "Selvfølgelig, som enhver applikasjon som er målrettet, er dekning av drepekjeden et effektivt tiltak for å redusere risiko og trusselnivå," sier Manky.
Dette betyr å ha retningslinjer satt opp for riktig bruk av Discord i henhold til brukerprofiler, nettverkssegmentering og mer.
Hvorfor npm er målrettet mot programvareforsyningskjedeangrep
npm-programvarepakken har mer enn 11 millioner brukere og titalls milliarder nedlastinger av pakkene den er vert for. Det brukes både av erfarne Node.js-utviklere og folk som bruker det tilfeldig som en del av andre aktiviteter.
Open source npm-modulene brukes både i Node.js-produksjonsapplikasjoner og i utviklerverktøy for applikasjoner som ellers ikke ville brukt Node. Hvis en utvikler utilsiktet trekker inn en ondsinnet pakke for å bygge en applikasjon, kan den skadelige programvaren fortsette å målrette mot sluttbrukerne av den applikasjonen. Dermed gir programvareforsyningskjedeangrep som disse større rekkevidde for mindre innsats enn å målrette et enkelt selskap.
"Den allestedsnærværende bruken blant utviklere gjør det til et stort mål," sier Casey Bisson, leder for produkt- og utvikleraktivering hos BluBracket, en leverandør av kodesikkerhetsløsninger.
Npm gir ikke bare en angrepsvektor til et stort antall mål, men at målene i seg selv strekker seg utover sluttbrukere, sier Bisson.
"Bedrifter og individuelle utviklere har begge ofte større ressurser enn gjennomsnittlig befolkning, og laterale angrep etter å ha fått et strandhode i en utvikleres maskin eller bedriftssystemer er generelt også ganske fruktbare," legger han til.
Garwood Pang, senior sikkerhetsforsker ved Tigera, en leverandør av sikkerhet og observerbarhet for containere, påpeker at mens npm gir en av de mest populære pakkebehandlerne for JavaScript, er ikke alle kunnskapsrike i hvordan de skal bruke det.
"Dette gir utviklere tilgang til et enormt bibliotek med åpen kildekode-pakker for å forbedre koden deres," sier han. "På grunn av brukervennligheten og antallet oppføringer, kan en uerfaren utvikler imidlertid enkelt importere ondsinnede pakker uten deres viten."
Det er imidlertid ingen enkel prestasjon å identifisere en ondsinnet pakke. Tim Mackey, hovedsikkerhetsstrateg ved Synopsys Cybersecurity Research Center, siterer den store mengden komponenter som utgjør en typisk NodeJS-pakke.
"Å kunne identifisere korrekte implementeringer av enhver funksjonalitet er utfordret når det er mange forskjellige legitime løsninger på det samme problemet," sier han. "Legg til en ondsinnet implementering som deretter kan refereres til av andre komponenter, og du har en oppskrift der det er vanskelig for noen å avgjøre om komponenten de velger gjør det som står på esken og ikke inkluderer eller refererer til uønsket funksjonalitet."
Mer enn npm: Programvareforsyningskjedeangrep på vei opp
Store forsyningskjedeangrep har hatt en betydelig innvirkning på programvaresikkerhetsbevissthet og beslutningstaking, med flere investeringer planlagt for overvåking av angrepsflater.
Mackey påpeker at programvareforsyningskjeder alltid har vært mål, spesielt når man ser på angrep rettet mot rammeverk som handlekurver eller utviklingsverktøy.
"Det vi ser nylig er en erkjennelse av at angrep vi pleide å kategorisere som skadelig programvare eller som et datainnbrudd i realiteten er kompromisser av tilliten organisasjoner har til programvaren de både lager og bruker," sier han.
Mackey sier også at mange mennesker antok at programvare laget av en leverandør i sin helhet var forfattet av den leverandøren, men i virkeligheten kan det være hundrevis av tredjepartsbiblioteker som utgjør selv den enkleste programvaren – som kom frem med Log4j fiasko.
"Disse bibliotekene er faktisk leverandører innenfor programvareforsyningskjeden for applikasjonen, men beslutningen om å bruke en gitt leverandør ble tatt av en utvikler som løser et funksjonsproblem og ikke av en forretningsmann som fokuserer på forretningsrisiko," sier han.
Det er bedt om å implementere programvarelister (SBOM). Og i mai MITRE lansert
et prototyperammeverk for informasjons- og kommunikasjonsteknologi (IKT) som definerer og kvantifiserer risikoer og sikkerhetsproblemer over forsyningskjeden - inkludert programvare.
