สี่แพ็คเกจที่มีรหัส Python และ JavaScript ที่เป็นอันตรายซึ่งสร้างความสับสนอย่างมากถูกค้นพบในที่เก็บ Node Package Manager (npm) ในสัปดาห์นี้
ตาม รายงาน
จาก Kaspersky แพ็คเกจที่เป็นอันตรายแพร่กระจายมัลแวร์ "Volt Stealer" และ "Lofy Stealer" รวบรวมข้อมูลจากเหยื่อ รวมถึงโทเค็น Discord และข้อมูลบัตรเครดิต และสอดแนมพวกเขาเมื่อเวลาผ่านไป
Volt Stealer ใช้เพื่อขโมย โทเค็นที่ไม่ลงรอยกัน และเก็บเกี่ยวที่อยู่ IP ของผู้คนจากคอมพิวเตอร์ที่ติดไวรัส ซึ่งจากนั้นจะอัปโหลดไปยังผู้ประสงค์ร้ายผ่าน HTTP
Lofy Stealer เป็นภัยคุกคามที่พัฒนาขึ้นใหม่ สามารถแพร่เชื้อไปยังไฟล์ไคลเอนต์ Discord และติดตามการกระทำของเหยื่อได้ ตัวอย่างเช่น มัลแวร์ตรวจพบเมื่อผู้ใช้เข้าสู่ระบบ เปลี่ยนรายละเอียดอีเมลหรือรหัสผ่าน หรือเปิดหรือปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) นอกจากนี้ยังตรวจสอบเมื่อผู้ใช้เพิ่มวิธีการชำระเงินใหม่ และจะเก็บรายละเอียดบัตรเครดิตทั้งหมด ข้อมูลที่รวบรวมจะถูกอัปโหลดไปยังปลายทางระยะไกล
ชื่อแพ็คเกจคือ "small-sm," "pern-valids," "lifeculer," และ "proc-title" แม้ว่า npm จะลบพวกมันออกจากที่เก็บ แต่แอพพลิเคชั่นจากผู้พัฒนาที่ดาวน์โหลดพวกมันไปแล้วยังคงเป็นภัยคุกคาม
แฮ็กโทเค็นที่ไม่ลงรอยกัน
การกำหนดเป้าหมาย Discord ให้การเข้าถึงจำนวนมากเนื่องจากโทเค็น Discord ที่ถูกขโมยสามารถใช้ประโยชน์จากความพยายามในการฟิชชิ่งแบบสเปียร์กับเพื่อนของเหยื่อได้ แต่ Derek Manky หัวหน้านักยุทธศาสตร์ด้านความปลอดภัยและรองประธานฝ่ายข่าวกรองภัยคุกคามระดับโลกที่ FortiGuard Labs ของ Fortinet ชี้ให้เห็นว่าพื้นผิวการโจมตีจะแตกต่างกันไปตามแต่ละองค์กร ขึ้นอยู่กับการใช้แพลตฟอร์มการสื่อสารมัลติมีเดีย
“ระดับภัยคุกคามจะไม่สูงเท่ากับการระบาดระดับ 1 อย่างที่เราเคยเห็นในอดีต เช่น Log4j เนื่องจากแนวคิดเหล่านี้รอบ ๆ พื้นผิวการโจมตีที่เกี่ยวข้องกับพาหะเหล่านี้” เขาอธิบาย
ผู้ใช้ Discord มีตัวเลือกในการป้องกันตนเองจากการโจมตีประเภทนี้: “แน่นอนว่า เช่นเดียวกับแอปพลิเคชันอื่นๆ ที่ตกเป็นเป้าหมาย การครอบคลุมห่วงโซ่การฆ่าเป็นมาตรการที่มีประสิทธิภาพในการลดความเสี่ยงและระดับภัยคุกคาม” Manky กล่าว
ซึ่งหมายถึงการกำหนดนโยบายสำหรับการใช้งาน Discord อย่างเหมาะสมตามโปรไฟล์ผู้ใช้ การแบ่งส่วนเครือข่าย และอื่นๆ
เหตุใด npm จึงตกเป็นเป้าหมายสำหรับการโจมตีซอฟต์แวร์ซัพพลายเชน
ที่เก็บแพ็คเกจซอฟต์แวร์ npm มีผู้ใช้มากกว่า 11 ล้านคนและดาวน์โหลดแพ็คเกจที่โฮสต์หลายหมื่นล้านครั้ง มันถูกใช้โดยนักพัฒนา Node.js ที่มีประสบการณ์และผู้คนที่ใช้มันอย่างตั้งใจเป็นส่วนหนึ่งของกิจกรรมอื่นๆ
โมดูล npm แบบโอเพ่นซอร์สถูกใช้ทั้งในแอปพลิเคชันการผลิต Node.js และในเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์สำหรับแอปพลิเคชันที่ไม่ได้ใช้งาน Node หากนักพัฒนาดึงแพคเกจที่เป็นอันตรายเข้ามาโดยไม่ได้ตั้งใจเพื่อสร้างแอปพลิเคชัน มัลแวร์นั้นสามารถกำหนดเป้าหมายไปที่ผู้ใช้ปลายทางของแอปพลิเคชันนั้นได้ ดังนั้น การโจมตีด้วยซอฟต์แวร์ซัพพลายเชนเช่นนี้จึงช่วยให้เข้าถึงได้มากขึ้นโดยใช้ความพยายามน้อยกว่าการกำหนดเป้าหมายเป็นรายบริษัท
Casey Bisson หัวหน้าฝ่ายพัฒนาผลิตภัณฑ์และการพัฒนาซอฟต์แวร์ของ BluBracket ซึ่งเป็นผู้ให้บริการโซลูชันการรักษาความปลอดภัยรหัสกล่าวว่า "การใช้งานอย่างแพร่หลายในหมู่นักพัฒนาทำให้เป็นเป้าหมายใหญ่
Npm ไม่เพียงแค่ให้เวคเตอร์การโจมตีแก่เป้าหมายจำนวนมากเท่านั้น
“องค์กรและนักพัฒนาแต่ละรายมักมีทรัพยากรมากกว่าประชากรทั่วไป และการโจมตีด้านข้างหลังจากยึดหัวหาดในเครื่องหรือระบบขององค์กรของนักพัฒนามักจะได้ผลค่อนข้างดี” เขากล่าวเสริม
Garwood Pang นักวิจัยด้านความปลอดภัยอาวุโสของ Tigera ผู้ให้บริการความปลอดภัยและความสามารถในการสังเกตสำหรับคอนเทนเนอร์ ชี้ให้เห็นว่าแม้ว่า npm จะเป็นหนึ่งในเครื่องมือจัดการแพ็กเกจยอดนิยมสำหรับ JavaScript แต่ก็ไม่ใช่ทุกคนที่เข้าใจวิธีใช้งาน
“สิ่งนี้ทำให้นักพัฒนาสามารถเข้าถึงไลบรารี่ขนาดใหญ่ของแพ็คเกจโอเพ่นซอร์สเพื่อปรับปรุงโค้ดของพวกเขา” เขากล่าว “อย่างไรก็ตาม เนื่องจากการใช้งานง่ายและจำนวนรายการ นักพัฒนาที่ไม่มีประสบการณ์สามารถนำเข้าแพ็คเกจที่เป็นอันตรายได้อย่างง่ายดายโดยที่พวกเขาไม่รู้ตัว”
มันไม่ง่ายเลยที่จะระบุแพ็คเกจที่เป็นอันตราย Tim Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักที่ Synopsys Cybersecurity Research Center อ้างถึงส่วนประกอบจำนวนมากที่ประกอบกันเป็นแพ็คเกจ NodeJS ทั่วไป
“ความสามารถในการระบุการใช้งานฟังก์ชันใดๆ ที่ถูกต้องเป็นสิ่งที่ท้าทาย เมื่อมีวิธีแก้ปัญหาที่ถูกต้องตามกฎหมายที่แตกต่างกันมากมายสำหรับปัญหาเดียวกัน” เขากล่าว “เพิ่มการใช้งานที่เป็นอันตรายซึ่งสามารถอ้างอิงโดยส่วนประกอบอื่น ๆ และคุณมีสูตรที่ยากสำหรับทุกคนที่จะตัดสินว่าส่วนประกอบที่พวกเขาเลือกทำในสิ่งที่ระบุไว้ในกล่องและไม่รวมหรืออ้างอิงที่ไม่พึงประสงค์ ฟังก์ชั่น”
มากกว่า npm: ซอฟต์แวร์ซัพพลายเชนโจมตีเพิ่มขึ้น
การโจมตีห่วงโซ่อุปทานที่สำคัญมี ผลกระทบสำคัญ เกี่ยวกับการรับรู้และการตัดสินใจด้านความปลอดภัยของซอฟต์แวร์ โดยมีแผนการลงทุนเพิ่มเติมสำหรับการตรวจสอบพื้นผิวการโจมตี
Mackey ชี้ให้เห็นว่าห่วงโซ่อุปทานของซอฟต์แวร์ตกเป็นเป้าหมายเสมอ โดยเฉพาะอย่างยิ่งเมื่อใครก็ตามมองไปที่เฟรมเวิร์กที่กำหนดเป้าหมายการโจมตี เช่น ตะกร้าสินค้าหรือเครื่องมือในการพัฒนา
“สิ่งที่เราเห็นเมื่อเร็วๆ นี้คือการตระหนักว่าการโจมตีที่เราใช้เพื่อจัดประเภทเป็นมัลแวร์หรือการละเมิดข้อมูล ในความเป็นจริงแล้วเป็นการประนีประนอมขององค์กรที่ไว้วางใจในซอฟต์แวร์ที่พวกเขาทั้งสร้างและใช้งาน” เขากล่าว
Mackey ยังกล่าวด้วยว่าหลายคนคิดว่าซอฟต์แวร์ที่สร้างโดยผู้ขายนั้นเขียนโดยผู้ขายรายนั้นทั้งหมด แต่ในความเป็นจริง อาจมีห้องสมุดบุคคลที่สามหลายร้อยแห่งที่ประกอบกันเป็นซอฟต์แวร์ที่ง่ายที่สุด ความล้มเหลว Log4j.
“ห้องสมุดเหล่านั้นเป็นซัพพลายเออร์ที่มีประสิทธิภาพภายในห่วงโซ่อุปทานของซอฟต์แวร์สำหรับแอปพลิเคชัน แต่การตัดสินใจใช้ซัพพลายเออร์รายใดนั้นเกิดจากนักพัฒนาที่แก้ปัญหาฟีเจอร์ ไม่ใช่โดยนักธุรกิจที่มุ่งเน้นไปที่ความเสี่ยงทางธุรกิจ” เขากล่าว
ที่ได้รับแจ้งเรียกร้องให้ดำเนินการของ ค่าวัสดุซอฟต์แวร์ (SBOM). และในเดือนพฤษภาคม MITER เปิดตัว
กรอบงานต้นแบบสำหรับเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่กำหนดและวัดปริมาณความเสี่ยงและข้อกังวลด้านความปลอดภัยในห่วงโซ่อุปทาน — รวมถึงซอฟต์แวร์
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
