W tym tygodniu w repozytorium Node Package Manager (npm) wykryto cztery pakiety zawierające wysoce zaciemniony szkodliwy kod Python i JavaScript.
Według raport
od firmy Kaspersky szkodliwe pakiety rozprzestrzeniają szkodliwe oprogramowanie „Volt Stealer” i „Lofy Stealer”, zbierając informacje od swoich ofiar, w tym tokeny Discord i informacje o kartach kredytowych, oraz szpiegując je w czasie.
Volt Stealer służy do kradzieży Tokeny niezgody i zbierają adresy IP ludzi z zainfekowanych komputerów, które są następnie przesyłane do złośliwych aktorów za pośrednictwem protokołu HTTP.
Lofy Stealer, nowo opracowane zagrożenie, może infekować pliki klienta Discord i monitorować działania ofiary. Na przykład złośliwe oprogramowanie wykrywa, kiedy użytkownik się loguje, zmienia adres e-mail lub hasło albo włącza lub wyłącza uwierzytelnianie wieloskładnikowe (MFA). Monitoruje również, kiedy użytkownik dodaje nowe metody płatności i zbiera pełne dane karty kredytowej. Zebrane informacje są następnie przesyłane do zdalnego punktu końcowego.
Nazwy pakietów to „small-sm”, „pern-valids”, „lifeculer” i „proc-title”. Podczas gdy npm usunął je z repozytorium, aplikacje każdego programisty, który je już pobrał, nadal stanowią zagrożenie.
Hakowanie tokenów Discord
Celowanie w Discord zapewnia duży zasięg, ponieważ skradzione tokeny Discord można wykorzystać do ataków typu spear phishing na znajomych ofiar. Ale Derek Manky, główny strateg bezpieczeństwa i wiceprezes ds. globalnej analizy zagrożeń w FortiGuard Labs firmy Fortinet, zwraca uwagę, że powierzchnia ataku będzie oczywiście różna w różnych organizacjach, w zależności od wykorzystania przez nie multimedialnej platformy komunikacyjnej.
„Poziom zagrożenia nie byłby tak wysoki jak epidemia poziomu 1, jaką widzieliśmy w przeszłości — na przykład Log4j — ze względu na te koncepcje wokół powierzchni ataku związanej z tymi wektorami” — wyjaśnia.
Użytkownicy Discord mają opcje ochrony przed tego rodzaju atakami: „Oczywiście, jak każda aplikacja, która jest celem ataków, pokrycie łańcucha zabijania jest skutecznym środkiem zmniejszającym ryzyko i poziom zagrożenia” — mówi Manky.
Oznacza to skonfigurowanie zasad odpowiedniego korzystania z Discord zgodnie z profilami użytkowników, segmentacją sieci i nie tylko.
Dlaczego npm jest celem ataków na łańcuch dostaw oprogramowania
Repozytorium pakietów oprogramowania npm ma ponad 11 milionów użytkowników i dziesiątki miliardów pobrań hostowanych pakietów. Używają go zarówno doświadczeni programiści Node.js, jak i osoby używające go okazjonalnie w ramach innych działań.
Moduły npm typu open source są używane zarówno w aplikacjach produkcyjnych Node.js, jak i w narzędziach programistycznych dla aplikacji, które inaczej nie korzystałyby z Node. Jeśli programista nieumyślnie pobierze złośliwy pakiet w celu zbudowania aplikacji, to złośliwe oprogramowanie może dalej atakować użytkowników końcowych tej aplikacji. W związku z tym ataki na łańcuch dostaw oprogramowania, takie jak te, zapewniają większy zasięg przy mniejszym wysiłku niż ataki na pojedynczą firmę.
„To wszechobecne użycie wśród programistów sprawia, że jest to duży cel”, mówi Casey Bisson, szef działu produktów i rozwoju programistów w BluBracket, dostawcy rozwiązań zabezpieczających kod.
Bisson mówi, że Npm nie tylko zapewnia wektor ataku na dużą liczbę celów, ale same cele wykraczają poza użytkowników końcowych.
„Zarówno przedsiębiorstwa, jak i indywidualni programiści często dysponują większymi zasobami niż przeciętna populacja, a boczne ataki po uzyskaniu przyczółka w maszynie programisty lub systemach korporacyjnych są zazwyczaj również dość owocne” — dodaje.
Garwood Pang, starszy badacz ds. bezpieczeństwa w firmie Tigera, dostawcy zabezpieczeń i możliwości obserwowania kontenerów, zwraca uwagę, że choć npm zapewnia jeden z najpopularniejszych menedżerów pakietów dla języka JavaScript, nie każdy jest biegły w korzystaniu z niego.
„Dzięki temu programiści mają dostęp do ogromnej biblioteki pakietów open source w celu ulepszenia ich kodu” — mówi. „Jednak ze względu na łatwość użycia i liczbę wpisów niedoświadczony programista może z łatwością importować złośliwe pakiety bez swojej wiedzy”.
Zidentyfikowanie złośliwego pakietu nie jest jednak łatwym zadaniem. Tim Mackey, główny strateg ds. bezpieczeństwa w Synopsys Cybersecurity Research Center, przytacza ogromną liczbę komponentów składających się na typowy pakiet NodeJS.
„Możliwość zidentyfikowania poprawnych implementacji dowolnej funkcjonalności jest wyzwaniem, gdy istnieje wiele różnych uzasadnionych rozwiązań tego samego problemu” — mówi. „Dodaj złośliwą implementację, do której mogą się następnie odwoływać inne komponenty, a otrzymasz przepis, w którym każdemu trudno jest określić, czy wybrany przez nich komponent robi to, co jest napisane na pudełku i nie zawiera lub nie odnosi się do niepożądanych funkcjonalność.”
Więcej niż npm: rośnie liczba ataków na łańcuch dostaw oprogramowania
Główne ataki w łańcuchu dostaw miały ok Znaczący wpływ w zakresie świadomości bezpieczeństwa oprogramowania i podejmowania decyzji, z planowanymi większymi inwestycjami w monitorowanie obszarów ataków.
Mackey zwraca uwagę, że łańcuchy dostaw oprogramowania zawsze były celem ataków, zwłaszcza gdy patrzy się na ataki ukierunkowane na ramy, takie jak koszyki na zakupy lub narzędzia programistyczne.
„Ostatnio obserwujemy, że ataki, które wcześniej klasyfikowaliśmy jako złośliwe oprogramowanie lub naruszenie danych, są w rzeczywistości nadużyciami zaufania, jakie organizacje pokładają w oprogramowaniu, które zarówno tworzą, jak i konsumują” — mówi.
Mackey mówi również, że wiele osób zakładało, że oprogramowanie stworzone przez dostawcę jest w całości jego autorem, ale w rzeczywistości mogą istnieć setki bibliotek stron trzecich składających się nawet na najprostsze oprogramowanie — co wyszło na jaw po Fiasko Log4j.
„Biblioteki te są w rzeczywistości dostawcami w łańcuchu dostaw oprogramowania dla aplikacji, ale decyzję o skorzystaniu z usług danego dostawcy podjął programista rozwiązujący problem z funkcją, a nie biznesmen skupiony na ryzyku biznesowym” — mówi.
To skłoniło wezwania do realizacji zestawienia materiałowe oprogramowania (SBOM). A w maju MITER uruchomiona
prototypowe ramy dla technologii informacyjno-komunikacyjnych (ICT), które definiują i określają ilościowo zagrożenia i obawy dotyczące bezpieczeństwa w łańcuchu dostaw – w tym w oprogramowaniu.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
