Patru pachete care conțin cod Python și JavaScript rău intenționat foarte ascuns au fost descoperite în această săptămână în depozitul Node Package Manager (npm).
Potrivit unui raportează
de la Kaspersky, pachetele rău intenționate răspândesc programele malware „Volt Stealer” și „Lofy Stealer”, colectând informații de la victimele lor, inclusiv jetoane Discord și informații despre cardul de credit și spionându-le în timp.
Volt Stealer este folosit pentru a fura Jetoane de discordie și recoltează adresele IP ale oamenilor de pe computerele infectate, care sunt apoi încărcate către actori rău intenționați prin HTTP.
Lofy Stealer, o amenințare nou dezvoltată, poate infecta fișierele clientului Discord și poate monitoriza acțiunile victimei. De exemplu, programul malware detectează când un utilizator se conectează, schimbă detaliile de e-mail sau parolă sau activează sau dezactivează autentificarea multifactorială (MFA). De asemenea, monitorizează când un utilizator adaugă noi metode de plată și va colecta detalii complete ale cardului de credit. Informațiile colectate sunt apoi încărcate într-un punct final la distanță.
Numele pachetelor sunt „small-sm”, „pern-valids”, „lifeculer” și „proc-title”. În timp ce npm le-a eliminat din depozit, aplicațiile de la orice dezvoltator care le-a descărcat deja rămân o amenințare.
Hacking jetoane Discord
Direcționarea Discord oferă o mare acoperire, deoarece jetoanele Discord furate pot fi utilizate pentru încercări de spear-phishing asupra prietenilor victimelor. Dar Derek Manky, strateg-șef de securitate și vicepreședinte al informațiilor privind amenințările globale la FortiGuard Labs de la Fortinet, subliniază că suprafața de atac va varia, desigur, între organizații, în funcție de utilizarea platformei de comunicații multimedia.
„Nivelul de amenințare nu ar fi la fel de mare ca un focar de nivel 1, așa cum am văzut în trecut, de exemplu, Log4j, din cauza acestor concepte în jurul suprafeței de atac asociate cu acești vectori”, explică el.
Utilizatorii Discord au opțiuni pentru a se proteja de acest tip de atacuri: „Desigur, ca orice aplicație care este vizată, acoperirea lanțului de ucidere este o măsură eficientă pentru a reduce riscul și nivelul de amenințare”, spune Manky.
Aceasta înseamnă să aveți politici configurate pentru utilizarea corespunzătoare a Discord în funcție de profilurile utilizatorilor, segmentarea rețelei și multe altele.
De ce npm este vizat pentru atacurile lanțului de aprovizionare software
Depozitul de pachete software npm are peste 11 milioane de utilizatori și zeci de miliarde de descărcări ale pachetelor pe care le găzduiește. Este folosit atât de dezvoltatorii experimentați Node.js, cât și de oameni care îl folosesc ocazional ca parte a altor activități.
Modulele open source npm sunt utilizate atât în aplicațiile de producție Node.js, cât și în instrumentele de dezvoltare pentru aplicații care altfel nu ar folosi Node. Dacă un dezvoltator trage din neatenție un pachet rău intenționat pentru a construi o aplicație, acel malware poate continua să vizeze utilizatorii finali ai aplicației respective. Astfel, atacurile lanțului de aprovizionare cu software ca acestea oferă o acoperire mai mare pentru un efort mai mic decât vizarea unei companii individuale.
„Această utilizare omniprezentă în rândul dezvoltatorilor îl face o țintă mare”, spune Casey Bisson, șeful departamentului de activare pentru produse și dezvoltatori la BluBracket, un furnizor de soluții de securitate a codului.
Npm nu oferă doar un vector de atac unui număr mare de ținte, ci că țintele în sine se extind dincolo de utilizatorii finali, spune Bisson.
„Întreprinderile și dezvoltatorii individuali au adesea resurse mai mari decât populația medie, iar atacurile laterale după ce au câștigat un cap de pod în mașina unui dezvoltator sau în sistemele întreprinderii sunt, în general, destul de fructuoase”, adaugă el.
Garwood Pang, cercetător senior de securitate la Tigera, un furnizor de securitate și observabilitate pentru containere, subliniază că, deși npm oferă unul dintre cei mai populari manageri de pachete pentru JavaScript, nu toată lumea este pricepută în modul de utilizare.
„Acest lucru le permite dezvoltatorilor să aibă acces la o bibliotecă uriașă de pachete open source pentru a-și îmbunătăți codul”, spune el. „Cu toate acestea, datorită ușurinței de utilizare și a volumului de listări, un dezvoltator neexperimentat poate importa cu ușurință pachete rău intenționate fără știrea lor.”
Nu este însă o operație ușoară să identifici un pachet rău intenționat. Tim Mackey, strateg principal de securitate la Centrul de Cercetare Cybersecurity Synopsys, citează cantitatea mare de componente care alcătuiesc un pachet tipic NodeJS.
„Poate identifica implementările corecte ale oricărei funcționalități este provocată atunci când există multe soluții legitime diferite pentru aceeași problemă”, spune el. „Adăugați o implementare rău intenționată care poate fi apoi referită de alte componente și aveți o rețetă în care este dificil pentru oricine să stabilească dacă componenta pe care o selectează face ceea ce scrie pe cutie și nu include sau nu face referire la elemente nedorite. funcționalitate.”
Mai mult decât npm: Atacurile lanțului de aprovizionare cu software în creștere
Atacurile majore ale lanțului de aprovizionare au avut o impact semnificativ privind conștientizarea securității software și luarea deciziilor, cu mai multe investiții planificate pentru monitorizarea suprafețelor de atac.
Mackey subliniază că lanțurile de aprovizionare cu software au fost întotdeauna ținte, în special atunci când ne uităm la atacuri care vizează cadre precum cărucioarele de cumpărături sau instrumentele de dezvoltare.
„Ceea ce vedem recent este o recunoaștere a faptului că atacurile pe care le-am folosit pentru a clasifica drept malware sau ca o încălcare a datelor sunt în realitate compromisuri ale încrederii pe care organizațiile o acordă în software-ul pe care îl creează și îl consumă”, spune el.
Mackey mai spune că mulți oameni au presupus că software-ul creat de un furnizor a fost în întregime creat de acel furnizor, dar, în realitate, ar putea exista sute de biblioteci terță parte care să alcătuiască chiar și cel mai simplu software - așa cum a ieșit la lumină cu Log4j fiasco.
„Aceste biblioteci sunt efectiv furnizori în cadrul lanțului de aprovizionare cu software pentru aplicație, dar decizia de a utiliza orice furnizor dat a fost luată de un dezvoltator care rezolvă o problemă de caracteristică și nu de un om de afaceri concentrat pe riscurile de afaceri”, spune el.
Asta a determinat apelurile pentru implementarea liste de materiale software (SBOM). Și, în mai, MITRE a lansat
un cadru prototip pentru tehnologia informației și comunicațiilor (TIC) care definește și cuantifică riscurile și preocupările de securitate ale lanțului de aprovizionare, inclusiv software-ul.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
