Zlonamerni npm paketi Scarf Up žetoni Discord, informacije o kreditni kartici

Štirje paketi, ki vsebujejo zelo zakrito zlonamerno kodo Python in JavaScript, so bili odkriti ta teden v repozitoriju Node Package Manager (npm). 

Glede na poročilo
od Kasperskyja zlonamerni paketi širijo zlonamerno programsko opremo »Volt Stealer« in »Lofy Stealer«, zbirajo informacije od svojih žrtev, vključno z žetoni Discord in podatki o kreditnih karticah, ter sčasoma vohunijo za njimi.

Volt Stealer se uporablja za krajo Discord žetoni in zbira IP naslove ljudi iz okuženih računalnikov, ki se nato naložijo zlonamernim akterjem prek HTTP. 

Lofy Stealer, na novo razvita grožnja, lahko okuži datoteke odjemalca Discord in spremlja dejanja žrtve. Zlonamerna programska oprema na primer zazna, ko se uporabnik prijavi, spremeni podatke o e-pošti ali geslu ali omogoči ali onemogoči večfaktorsko preverjanje pristnosti (MFA). Prav tako spremlja, kdaj uporabnik doda nove načine plačila, in zbere vse podatke o kreditni kartici. Zbrane informacije se nato naložijo na oddaljeno končno točko.

Imena paketov so »small-sm«, »pern-valids«, »lifeculer« in »proc-title«. Medtem ko jih je npm odstranil iz repozitorija, aplikacije vseh razvijalcev, ki so jih že prenesli, ostajajo grožnja.

Vdor v žetone Discord

Ciljanje na Discord zagotavlja velik doseg, saj je mogoče ukradene žetone Discord uporabiti za poskuse lažnega predstavljanja prijateljev žrtev. Toda Derek Manky, glavni varnostni strateg in podpredsednik oddelka za obveščanje o globalnih grožnjah pri Fortinetovih FortiGuard Labs, poudarja, da se bo površina napada med organizacijami seveda razlikovala, odvisno od njihove uporabe multimedijske komunikacijske platforme.

"Stopnja grožnje ne bi bila tako visoka kot izbruh stopnje 1, kot smo ga videli v preteklosti - na primer Log4j - zaradi teh konceptov okoli napadalne površine, povezane s temi vektorji," pojasnjuje.

Uporabniki Discorda imajo možnosti, da se zaščitijo pred tovrstnimi napadi: »Seveda, tako kot vsaka ciljna aplikacija, je pokrivanje verige ubijanja učinkovit ukrep za zmanjšanje tveganja in ravni grožnje,« pravi Manky.

To pomeni, da imate nastavljene pravilnike za ustrezno uporabo Discorda glede na uporabniške profile, segmentacijo omrežja in drugo.

Zakaj je npm namenjen napadom na dobavno verigo programske opreme

Repozitorij programskih paketov npm ima več kot 11 milijonov uporabnikov in več deset milijard prenosov paketov, ki jih gosti. Uporabljajo ga tako izkušeni razvijalci Node.js kot ljudje, ki ga priložnostno uporabljajo kot del drugih dejavnosti.

Odprtokodni moduli npm se uporabljajo tako v produkcijskih aplikacijah Node.js kot v orodjih za razvijalce za aplikacije, ki sicer ne bi uporabljale Node. Če razvijalec nehote uporabi zlonamerni paket za izdelavo aplikacije, lahko ta zlonamerna programska oprema cilja na končne uporabnike te aplikacije. Tako napadi na dobavno verigo programske opreme, kot so ti, zagotavljajo večji doseg z manj truda kot ciljanje na posamezno podjetje.

»Zaradi vseprisotne uporabe med razvijalci je velika tarča,« pravi Casey Bisson, vodja produktov in omogočanja razvijalcev pri BluBracket, ponudniku varnostnih rešitev kode.

Bisson pravi, da Npm ne zagotavlja le vektorja napada velikemu številu tarč, ampak tudi same tarče presegajo končne uporabnike.

»Podjetja in posamezni razvijalci imajo pogosto več virov kot povprečna populacija in stranski napadi po pridobitvi opore v razvijalčevem stroju ali podjetniških sistemih so na splošno tudi precej uspešni,« dodaja.

Garwood Pang, višji varnostni raziskovalec pri Tigeri, ponudniku varnosti in opazljivosti za vsebnike, poudarja, da čeprav npm zagotavlja enega najbolj priljubljenih upraviteljev paketov za JavaScript, niso vsi vešči njegove uporabe.

»To omogoča razvijalcem dostop do ogromne knjižnice odprtokodnih paketov za izboljšanje njihove kode,« pravi. "Vendar pa lahko neizkušen razvijalec zaradi enostavne uporabe in količine seznama zlahka uvozi zlonamerne pakete brez njihove vednosti."

Prepoznavanje zlonamernega paketa pa ni lahko. Tim Mackey, glavni varnostni strateg v Synopsys Cybersecurity Research Center, navaja ogromno količino komponent, ki sestavljajo tipičen paket NodeJS.

»Zmožnost prepoznavanja pravilnih implementacij katere koli funkcionalnosti je izziv, ko obstaja veliko različnih legitimnih rešitev za isti problem,« pravi. »Dodajte zlonamerno implementacijo, na katero se nato lahko sklicujejo druge komponente, in dobili boste recept, pri katerem bo kdorkoli težko ugotovil, ali komponenta, ki jo izbere, dela tisto, kar piše na škatli, in ne vključuje ali se sklicuje na nezaželeno funkcionalnost.”

Več kot npm: Napadi na dobavno verigo programske opreme v porastu

Večji napadi na dobavno verigo so imeli a pomemben vpliv o ozaveščenosti o varnosti programske opreme in sprejemanju odločitev, z več naložbami, načrtovanimi za spremljanje napadalnih površin.

Mackey poudarja, da so bile dobavne verige programske opreme vedno tarče, zlasti če pogledamo napade, ki ciljajo na okvire, kot so nakupovalni vozički ali razvojna orodja.

»V zadnjem času opažamo, da so napadi, ki smo jih kategorizirali kot zlonamerno programsko opremo ali kot kršitev podatkov, v resnici kompromisi zaupanja organizacij v programsko opremo, ki jo ustvarjajo in uporabljajo,« pravi.

Mackey tudi pravi, da je veliko ljudi domnevalo, da je programska oprema, ki jo je ustvaril prodajalec, v celoti avtor tega prodajalca, toda v resnici lahko obstaja na stotine knjižnic tretjih oseb, ki sestavljajo celo najpreprostejšo programsko opremo - kot je prišlo na dan z Log4j fiasko.

»Te knjižnice so dejansko dobavitelji v dobavni verigi programske opreme za aplikacijo, vendar je odločitev o uporabi katerega koli dobavitelja sprejel razvijalec, ki rešuje težavo s funkcijo, in ne poslovnež, osredotočen na poslovna tveganja,« pravi.

To je spodbudilo pozive k izvedbi seznami materialov programske opreme (SBOM). In maja, MITER začela
prototipni okvir za informacijsko in komunikacijsko tehnologijo (IKT), ki opredeljuje in kvantificira tveganja in varnostne pomisleke v dobavni verigi – vključno s programsko opremo.