Bu hafta Düğüm Paket Yöneticisi (npm) deposunda oldukça karmaşık, kötü amaçlı Python ve JavaScript kodu içeren dört paket keşfedildi.
Bir göre rapor
Kaspersky'den gelen kötü amaçlı paketler, "Volt Stealer" ve "Lofy Stealer" kötü amaçlı yazılımlarını yayarak kurbanlarından Discord belirteçleri ve kredi kartı bilgileri de dahil olmak üzere bilgi topluyor ve zaman içinde bunları gözetliyor.
Volt Stealer çalmak için kullanılır Anlaşmazlık belirteçleri ve virüs bulaşmış bilgisayarlardan insanların IP adreslerini topluyor ve bunlar daha sonra HTTP aracılığıyla kötü niyetli aktörlere yükleniyor.
Yeni geliştirilen bir tehdit olan Lofy Stealer, Discord istemci dosyalarına bulaşabiliyor ve kurbanın eylemlerini izleyebiliyor. Örneğin, kötü amaçlı yazılım, bir kullanıcının oturum açtığını, e-posta veya parola ayrıntılarını değiştirdiğini veya çok faktörlü kimlik doğrulamayı (MFA) etkinleştirip devre dışı bıraktığını algılar. Ayrıca bir kullanıcının yeni ödeme yöntemleri eklediğini de izler ve kredi kartı ayrıntılarının tamamını toplar. Toplanan bilgiler daha sonra uzak bir uç noktaya yüklenir.
Paket adları "small-sm", "pern-valids", "lifeculer" ve "proc-title"dır. Npm bunları depodan kaldırmış olsa da, bunları zaten indirmiş olan herhangi bir geliştiricinin uygulamaları bir tehdit olarak kalmaya devam ediyor.
Discord Tokenlarını Hacklemek
Discord'u hedeflemek çok fazla erişim sağlar çünkü çalınan Discord tokenları kurbanların arkadaşlarına yönelik hedef odaklı kimlik avı girişimleri için kullanılabilir. Ancak Fortinet'in FortiGuard Laboratuvarları'nda güvenlik baş stratejisti ve küresel tehdit istihbaratından sorumlu başkan yardımcısı Derek Manky, multimedya iletişim platformunu kullanmalarına bağlı olarak saldırı yüzeyinin kuruluşlar arasında elbette farklılık göstereceğine dikkat çekiyor.
"Bu vektörlerle ilişkili saldırı yüzeyi etrafındaki kavramlar nedeniyle tehdit seviyesi, geçmişte gördüğümüz gibi (örneğin Log1j) 4. Seviye bir salgın kadar yüksek olmayacaktır" diye açıklıyor.
Discord kullanıcılarının kendilerini bu tür saldırılara karşı korumak için seçenekleri var: "Elbette, hedeflenen herhangi bir uygulama gibi, öldürme zincirini kapsamak, risk ve tehdit düzeyini azaltmak için etkili bir önlemdir" diyor Manky.
Bu, Discord'un kullanıcı profillerine, ağ segmentasyonuna ve daha fazlasına göre uygun şekilde kullanılmasına yönelik politikaların oluşturulması anlamına gelir.
Yazılım Tedarik Zinciri Saldırılarında Npm Neden Hedefleniyor?
Npm yazılım paketi deposunun 11 milyondan fazla kullanıcısı ve barındırdığı paketlerin on milyarlarca indirilmesi vardır. Hem deneyimli Node.js geliştiricileri hem de onu diğer etkinliklerin bir parçası olarak gelişigüzel kullanan kişiler tarafından kullanılır.
Açık kaynak npm modülleri hem Node.js üretim uygulamalarında hem de normalde Node.js kullanmayacak uygulamalara yönelik geliştirici araçlarında kullanılır. Bir geliştirici, bir uygulama oluşturmak için yanlışlıkla kötü amaçlı bir paket alırsa, bu kötü amaçlı yazılım, o uygulamanın son kullanıcılarını hedef alabilir. Dolayısıyla bunun gibi yazılım tedarik zinciri saldırıları, tek bir şirketi hedeflemekten daha az çabayla daha fazla erişim sağlar.
Sağlayıcı kodu güvenliği çözümleri BluBracket'in ürün ve geliştirici etkinleştirme başkanı Casey Bisson, "Geliştiriciler arasında her yerde bulunan kullanım, onu büyük bir hedef haline getiriyor" diyor.
Bisson, Npm'nin yalnızca çok sayıda hedefe saldırı vektörü sağlamadığını, aynı zamanda hedeflerin son kullanıcıların ötesine uzandığını söylüyor.
"Şirketler ve bireysel geliştiriciler genellikle ortalama nüfustan daha fazla kaynağa sahiptir ve geliştiricinin makinesinde veya kurumsal sistemlerinde bir üstünlük sağladıktan sonra yapılan yan saldırılar da genellikle oldukça verimlidir" diye ekliyor.
Konteynerler için güvenlik ve gözlemlenebilirlik sağlayıcısı Tigera'nın kıdemli güvenlik araştırmacısı Garwood Pang, npm'nin JavaScript için en popüler paket yöneticilerinden birini sağlamasına rağmen herkesin onu nasıl kullanacağı konusunda bilgili olmadığına dikkat çekiyor.
"Bu, geliştiricilerin kodlarını geliştirmek için büyük bir açık kaynak paket kitaplığına erişmesine olanak tanıyor" diyor. "Ancak kullanım kolaylığı ve listeleme miktarı nedeniyle deneyimsiz bir geliştirici, kötü amaçlı paketleri bilgisi olmadan kolayca içe aktarabilir."
Ancak kötü amaçlı bir paketi tanımlamak kolay bir iş değildir. Synopsys Siber Güvenlik Araştırma Merkezi'nin baş güvenlik stratejisti Tim Mackey, tipik bir NodeJS paketini oluşturan bileşenlerin çokluğundan bahsediyor.
"Aynı soruna birçok farklı meşru çözüm bulunduğunda, herhangi bir işlevin doğru uygulamalarını tespit edebilmek zorlaşıyor" diyor. "Daha sonra diğer bileşenler tarafından referans alınabilecek kötü amaçlı bir uygulama eklediğinizde, herkesin, seçtikleri bileşenin kutuda söyleneni yapıp yapmadığını ve istenmeyen bileşenleri içerip içermediğini veya referans vermediğini belirlemesinin zor olduğu bir tarifiniz olur. işlevsellik.”
Npm'den Daha Fazlası: Yazılım Tedarik Zinciri Saldırıları Yükselişte
Büyük tedarik zinciri saldırıları, önemli bir etkisi Yazılım güvenliği farkındalığı ve karar verme konusunda, saldırı yüzeylerinin izlenmesi için daha fazla yatırım planlanıyor.
Mackey, özellikle alışveriş sepetleri veya geliştirme araçları gibi çerçeveleri hedef alan saldırılara bakıldığında, yazılım tedarik zincirlerinin her zaman hedef olduğuna dikkat çekiyor.
"Son zamanlarda kötü amaçlı yazılım veya veri ihlali olarak kategorize ettiğimiz saldırıların gerçekte kuruluşların hem oluşturdukları hem de tükettikleri yazılımlara duydukları güvenden ödün verdiklerinin farkına varıldığını görüyoruz" diyor.
Mackey ayrıca birçok kişinin bir satıcı tarafından oluşturulan yazılımın tamamen o satıcı tarafından yazıldığını varsaydığını ancak gerçekte en basit yazılımı bile oluşturan yüzlerce üçüncü taraf kütüphanenin bulunabileceğini söylüyor. Log4j fiyaskosu.
"Bu kütüphaneler, uygulama için yazılım tedarik zincirindeki etkili tedarikçilerdir, ancak herhangi bir tedarikçiyi kullanma kararı, iş risklerine odaklanan bir iş adamı tarafından değil, bir özellik sorununu çözen bir geliştirici tarafından verildi" diyor.
Bu, uygulanmasına yönelik çağrıları harekete geçirdi yazılım malzeme listeleri (SBOM'ler). Ve Mayıs ayında MITRE başlattı
yazılım da dahil olmak üzere tedarik zinciri üzerindeki riskleri ve güvenlik kaygılarını tanımlayan ve ölçen bilgi ve iletişim teknolojisine (BİT) yönelik bir prototip çerçeve.
