На этой неделе в репозитории Node Package Manager (npm) были обнаружены четыре пакета, содержащие сильно запутанный вредоносный код Python и JavaScript.
В соответствии с отчету
от «Лаборатории Касперского» вредоносные пакеты распространяют вредоносное ПО «Volt Stealer» и «Lofy Stealer», собирая информацию от своих жертв, включая токены Discord и информацию о кредитных картах, и с течением времени шпионят за ними.
Volt Stealer используется для кражи Дискорд токены и собирают IP-адреса людей с зараженных компьютеров, которые затем загружаются злоумышленникам через HTTP.
Недавно разработанная угроза Lofy Stealer может заражать клиентские файлы Discord и отслеживать действия жертвы. Например, вредоносное ПО обнаруживает, когда пользователь входит в систему, меняет адрес электронной почты или пароль, а также включает или отключает многофакторную аутентификацию (MFA). Он также отслеживает, когда пользователь добавляет новые способы оплаты, и собирает полные данные кредитной карты. Собранная информация затем загружается на удаленную конечную точку.
Имена пакетов: «small-sm», «pern-valids», «lifeculer» и «proc-title». Пока npm удалил их из репозитория, приложения от любого разработчика, который их уже загрузил, остаются угрозой.
Взлом токенов Discord
Ориентация на Discord обеспечивает широкий охват, поскольку украденные токены Discord можно использовать для попыток целевого фишинга друзей жертв. Но Дерек Манки, главный специалист по стратегии безопасности и вице-президент по анализу глобальных угроз в лаборатории FortiGuard Labs компании Fortinet, отмечает, что поверхность атаки, конечно же, будет различаться в зависимости от организации, использующей мультимедийную коммуникационную платформу.
«Уровень угрозы не будет таким высоким, как вспышка уровня 1, которую мы видели в прошлом — например, Log4j — из-за этих концепций вокруг поверхности атаки, связанной с этими векторами», — объясняет он.
У пользователей Discord есть варианты защиты от таких атак: «Конечно, как и в случае с любым приложением, которое является мишенью, скрытие цепочки убийств — эффективная мера для снижения риска и уровня угроз», — говорит Манки.
Это означает настройку политик для надлежащего использования Discord в соответствии с профилями пользователей, сегментацией сети и т. д.
Почему npm предназначен для атак на цепочку поставок программного обеспечения
Репозиторий программных пакетов npm насчитывает более 11 миллионов пользователей и десятки миллиардов загрузок размещенных в нем пакетов. Он используется как опытными разработчиками Node.js, так и людьми, случайно использующими его как часть другой деятельности.
Модули npm с открытым исходным кодом используются как в производственных приложениях Node.js, так и в инструментах разработчиков для приложений, которые иначе не использовали бы Node. Если разработчик непреднамеренно использует вредоносный пакет для создания приложения, это вредоносное ПО может стать мишенью для конечных пользователей этого приложения. Таким образом, подобные атаки на цепочку поставок программного обеспечения обеспечивают больший охват с меньшими усилиями, чем атаки на отдельную компанию.
«Это повсеместное использование среди разработчиков делает его большой целью», — говорит Кейси Биссон, руководитель отдела продуктов и поддержки разработчиков в BluBracket, поставщике решений для защиты кода.
По словам Биссона, Npm не только обеспечивает вектор атаки для большого количества целей, но и сами цели выходят за рамки конечных пользователей.
«Предприятия и отдельные разработчики часто располагают большими ресурсами, чем среднее население, и боковые атаки после захвата плацдарма на машине разработчика или корпоративных системах, как правило, также довольно плодотворны», — добавляет он.
Гарвуд Панг, старший исследователь безопасности в Tigera, поставщике средств безопасности и наблюдения за контейнерами, отмечает, что, хотя npm предоставляет один из самых популярных менеджеров пакетов для JavaScript, не все разбираются в том, как его использовать.
«Это дает разработчикам доступ к огромной библиотеке пакетов с открытым исходным кодом для улучшения их кода», — говорит он. «Однако из-за простоты использования и объема листинга неопытный разработчик может легко импортировать вредоносные пакеты без их ведома».
Однако идентифицировать вредоносный пакет непросто. Тим Макки, главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys, ссылается на огромное количество компонентов, составляющих типичный пакет NodeJS.
«Возможность определить правильную реализацию какой-либо функциональности становится сложной задачей, когда для одной и той же проблемы существует много разных законных решений», — говорит он. «Добавьте вредоносную реализацию, на которую затем могут ссылаться другие компоненты, и вы получите рецепт, в котором кому-либо будет трудно определить, делает ли выбранный компонент то, что написано на коробке, и не включает ли он нежелательные компоненты или ссылается на них. функциональность».
Больше, чем npm: число атак на цепочку поставок программного обеспечения растет
Крупные атаки на цепочки поставок имели значительное влияние на осведомленность о безопасности программного обеспечения и принятие решений, при этом запланированы дополнительные инвестиции в мониторинг поверхностей атак.
Макки отмечает, что цепочки поставок программного обеспечения всегда были целями, особенно когда речь идет об атаках, нацеленных на такие платформы, как корзины для покупок или инструменты разработки.
«То, что мы наблюдаем в последнее время, — это признание того, что атаки, которые мы раньше классифицировали как вредоносное ПО или утечку данных, на самом деле являются компрометацией трастовых организаций, помещающих их в программное обеспечение, которое они создают и потребляют», — говорит он.
Макки также говорит, что многие люди предполагали, что программное обеспечение, созданное поставщиком, было полностью создано этим поставщиком, но на самом деле даже самое простое программное обеспечение могли составлять сотни сторонних библиотек — как выяснилось с помощью Фиаско Log4j.
«Эти библиотеки фактически являются поставщиками в цепочке поставок программного обеспечения для приложения, но решение об использовании любого данного поставщика было принято разработчиком, решающим проблему с функциональностью, а не бизнесменом, сосредоточенным на бизнес-рисках», — говорит он.
Это вызвало призывы к реализации спецификации программного обеспечения (SBOM). А в мае MITRE запустили
прототип структуры для информационных и коммуникационных технологий (ИКТ), который определяет и количественно оценивает риски и проблемы безопасности в цепочке поставок, включая программное обеспечение.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
