Fyra paket som innehåller mycket förvirrad skadlig Python- och JavaScript-kod upptäcktes den här veckan i Node Package Manager (npm) förvaret.
Enligt en rapport
från Kaspersky sprider de skadliga paketen skadlig programvara "Volt Stealer" och "Lofy Stealer", samlar in information från sina offer, inklusive Discord-tokens och kreditkortsinformation, och spionerar på dem över tid.
Volt Stealer används för att stjäla Discord-tokens och samla in människors IP-adresser från de infekterade datorerna, som sedan laddas upp till skadliga aktörer via HTTP.
Lofy Stealer, ett nyutvecklat hot, kan infektera Discord-klientfiler och övervaka offrets handlingar. Till exempel upptäcker skadlig programvara när en användare loggar in, ändrar e-post- eller lösenordsdetaljer eller aktiverar eller inaktiverar multifaktorautentisering (MFA). Den övervakar också när en användare lägger till nya betalningsmetoder och samlar in fullständiga kreditkortsuppgifter. Den insamlade informationen laddas sedan upp till en fjärrändpunkt.
Paketnamnen är "small-sm", "pern-valids", "lifeculer" och "proc-title." Även om npm har tagit bort dem från förvaret, förblir appar från alla utvecklare som redan laddat ner dem ett hot.
Hacka Discord-tokens
Inriktning på Discord ger stor räckvidd eftersom stulna Discord-tokens kan utnyttjas för spjutfiskeförsök på offrens vänner. Men Derek Manky, chefssäkerhetsstrateg och vicepresident för global hotintelligens vid Fortinets FortiGuard Labs, påpekar att attackytan naturligtvis kommer att variera mellan organisationer, beroende på deras användning av multimediakommunikationsplattformen.
"Hotnivån skulle inte vara så hög som ett Tier 1-utbrott som vi har sett tidigare - till exempel Log4j - på grund av dessa koncept runt attackytan som är associerad med dessa vektorer", förklarar han.
Användare av Discord har alternativ att skydda sig från dessa typer av attacker: "Naturligtvis, precis som alla program som är riktade, är täckning av dödningskedjan en effektiv åtgärd för att minska risk- och hotnivån", säger Manky.
Detta innebär att ha policyer inställda för lämplig användning av Discord enligt användarprofiler, nätverkssegmentering och mer.
Varför npm är inriktat på attacker från programvara Supply Chain
npm-programvarupaketförrådet har mer än 11 miljoner användare och tiotals miljarder nedladdningar av paketen som den är värd för. Det används både av erfarna Node.js-utvecklare och personer som använder det nonchalant som en del av andra aktiviteter.
npm-modulerna med öppen källkod används både i Node.js-produktionsapplikationer och i utvecklarverktyg för applikationer som annars inte skulle använda Node. Om en utvecklare oavsiktligt drar in ett skadligt paket för att bygga en applikation, kan den skadliga programvaran fortsätta att rikta in sig på slutanvändarna av den applikationen. Sålunda ger attacker från mjukvaruförsörjningskedjan som dessa större räckvidd för mindre ansträngning än att rikta in sig på ett enskilt företag.
"Den allestädes närvarande användningen bland utvecklare gör det till ett stort mål", säger Casey Bisson, chef för produkt- och utvecklaraktivering på BluBracket, en leverantör av kodsäkerhetslösningar.
Npm tillhandahåller inte bara en attackvektor till ett stort antal mål, utan att målen i sig sträcker sig bortom slutanvändarna, säger Bisson.
"Företag och individuella utvecklare har båda ofta större resurser än den genomsnittliga befolkningen, och laterala attacker efter att ha fått ett strandhuvud i en utvecklares maskin eller företagssystem är i allmänhet också ganska givande," tillägger han.
Garwood Pang, senior säkerhetsforskare på Tigera, en leverantör av säkerhet och observerbarhet för containrar, påpekar att även om npm tillhandahåller en av de mest populära pakethanterarna för JavaScript, är inte alla kunniga i hur man använder det.
"Detta ger utvecklare tillgång till ett enormt bibliotek av paket med öppen källkod för att förbättra sin kod", säger han. "Men på grund av användarvänligheten och mängden listning kan en oerfaren utvecklare enkelt importera skadliga paket utan deras vetskap."
Det är dock ingen lätt bedrift att identifiera ett skadligt paket. Tim Mackey, huvudsäkerhetsstrateg vid Synopsys Cybersecurity Research Center, citerar den stora mängden komponenter som utgör ett typiskt NodeJS-paket.
"Att kunna identifiera korrekta implementeringar av vilken funktion som helst är en utmaning när det finns många olika legitima lösningar på samma problem", säger han. "Lägg till en skadlig implementering som sedan kan refereras av andra komponenter, och du har ett recept där det är svårt för någon att avgöra om komponenten de väljer gör vad den står på lådan och inte innehåller eller refererar till oönskade funktionalitet."
Mer än npm: Software Supply Chain Attacks på uppgång
Stora supply chain attacker har haft en betydande inverkan på medvetenhet om mjukvarusäkerhet och beslutsfattande, med fler investeringar planerade för övervakning av attackytor.
Mackey påpekar att mjukvaruförsörjningskedjor alltid har varit mål, särskilt när man tittar på attacker som riktar sig mot ramverk som kundvagnar eller utvecklingsverktyg.
"Vad vi ser nyligen är en insikt om att attacker som vi använde för att kategorisera som skadlig programvara eller som ett dataintrång i själva verket är kompromisser för det förtroende som organisationer har för den programvara de både skapar och konsumerar", säger han.
Mackey säger också att många antog att programvara som skapats av en leverantör helt och hållet var författad av den leverantören, men i verkligheten kan det finnas hundratals tredjepartsbibliotek som utgör till och med den enklaste programvaran – vilket kom fram med Log4j fiasko.
"Dessa bibliotek är faktiskt leverantörer inom mjukvaruförsörjningskedjan för applikationen, men beslutet att använda en given leverantör togs av en utvecklare som löste ett funktionsproblem och inte av en affärsman som fokuserade på affärsrisker", säger han.
Det föranledde efterlyser genomförandet av mjukvarulistor (SBOM). Och i maj, MITRE lanserades
en prototypram för informations- och kommunikationsteknik (IKT) som definierar och kvantifierar risker och säkerhetsproblem över leveranskedjan – inklusive programvara.
