Цього тижня в репозиторії Node Package Manager (npm) було виявлено чотири пакунки, що містять сильно обфускований шкідливий код Python і JavaScript.
У відповідності з звітом
від Kaspersky, шкідливі пакети поширюють зловмисне програмне забезпечення «Volt Stealer» і «Lofy Stealer», збираючи інформацію від своїх жертв, зокрема токени Discord і дані кредитних карток, і з часом шпигують за ними.
Volt Stealer використовується для крадіжки Жетони розладу і збирають IP-адреси людей із заражених комп’ютерів, які потім завантажуються зловмисникам через HTTP.
Lofy Stealer, нещодавно розроблена загроза, може заражати клієнтські файли Discord і стежити за діями жертви. Наприклад, зловмисне програмне забезпечення виявляє, коли користувач входить в систему, змінює дані електронної пошти чи пароля або вмикає чи вимикає багатофакторну автентифікацію (MFA). Він також відстежує, коли користувач додає нові методи оплати, і збирає повні дані кредитної картки. Потім зібрана інформація завантажується на віддалену кінцеву точку.
Назви пакетів: «small-sm», «pern-valids», «lifeculer» і «proc-title». Хоча npm видалив їх зі сховища, програми від будь-якого розробника, який уже їх завантажив, залишаються загрозою.
Злом токенів Discord
Націлювання на Discord забезпечує широке охоплення, оскільки вкрадені токени Discord можна використовувати для спроб фішингу друзів жертв. Але Дерек Менкі, головний стратег із безпеки та віце-президент відділу глобальної розвідки загроз FortiGuard Labs Fortinet, зазначає, що поверхня атаки, звичайно, буде різною для різних організацій залежно від використання ними мультимедійної комунікаційної платформи.
«Рівень загрози не буде таким високим, як спалах рівня 1, як ми бачили в минулому — наприклад, Log4j — через ці концепції навколо поверхні атаки, пов’язаної з цими векторами», — пояснює він.
Користувачі Discord мають варіанти захисту від таких атак: «Звичайно, як і будь-яка цільова програма, прикриття ланцюга знищення є ефективним заходом для зниження ризику та рівня загрози», — каже Менкі.
Це означає наявність правил, налаштованих для належного використання Discord відповідно до профілів користувачів, сегментації мережі тощо.
Чому npm призначений для атак на ланцюг поставок програмного забезпечення
Репозиторій пакетів програмного забезпечення npm має понад 11 мільйонів користувачів і десятки мільярдів завантажень пакетів, які він містить. Він використовується як досвідченими розробниками Node.js, так і людьми, які випадково використовують його як частину інших видів діяльності.
Модулі npm з відкритим кодом використовуються як у робочих програмах Node.js, так і в інструментах розробника для програм, які інакше не використовували б Node. Якщо розробник ненавмисно залучає шкідливий пакет для створення програми, це зловмисне програмне забезпечення може націлитися на кінцевих користувачів цієї програми. Таким чином, такі атаки на ланцюг поставок програмного забезпечення забезпечують більший охоплення за менших зусиль, ніж націлювання на окрему компанію.
«Повсюдне використання серед розробників робить його великою ціллю», — каже Кейсі Біссон, керівник відділу підтримки продуктів і розробників у BluBracket, постачальнику рішень безпеки коду.
Npm не просто забезпечує вектор атаки для великої кількості цілей, але й те, що самі цілі виходять за межі кінцевих користувачів, каже Біссон.
«Підприємства та окремі розробники часто мають більше ресурсів, ніж середнє населення, і бічні атаки після отримання плацдарму на машині розробника чи корпоративних системах, як правило, також досить плідні», — додає він.
Гарвуд Панг, старший дослідник безпеки в Tigera, постачальнику безпеки та спостережуваності для контейнерів, зазначає, що хоча npm надає один із найпопулярніших менеджерів пакетів для JavaScript, не всі знають, як ним користуватися.
«Це дає розробникам доступ до величезної бібліотеки пакетів з відкритим вихідним кодом для вдосконалення свого коду», — говорить він. «Однак, завдяки простоті використання та кількості списків, недосвідчений розробник може легко імпортувати шкідливі пакети без їх відома».
Однак виявити шкідливий пакет непросто. Тім Маккі, головний стратег безпеки в Дослідницькому центрі кібербезпеки Synopsys, посилається на величезну кількість компонентів, які складають типовий пакет NodeJS.
«Можливість визначити правильні реалізації будь-якої функціональності є проблемою, коли існує багато різних законних рішень однієї проблеми», — каже він. «Додайте зловмисну реалізацію, на яку потім можуть посилатися інші компоненти, і ви отримаєте рецепт, у якому будь-кому важко визначити, чи виконує вибраний компонент те, що вказано на коробці, і не включає чи не посилається на небажане функціональність».
Більше ніж npm: Атаки на ланцюг поставок програмного забезпечення зростають
Основні атаки на ланцюги поставок мали місце значний вплив на обізнаність про безпеку програмного забезпечення та прийняття рішень із запланованими додатковими інвестиціями для моніторингу поверхонь атак.
Маккі зазначає, що ланцюжки поставок програмного забезпечення завжди були цілями, особливо коли розглядати атаки, спрямовані на фреймворки, такі як візки для покупок або інструменти розробки.
«Нещодавно ми спостерігаємо визнання того, що атаки, які ми класифікували як зловмисне програмне забезпечення або витік даних, насправді є компрометацією довірчих організацій щодо програмного забезпечення, яке вони створюють і використовують», — говорить він.
Маккі також каже, що багато людей припускали, що програмне забезпечення, створене постачальником, було повністю автором цього постачальника, але насправді можуть існувати сотні сторонніх бібліотек, які створюють навіть найпростіше програмне забезпечення — як виявилося з Фіаско Log4j.
«Ці бібліотеки фактично є постачальниками в ланцюжку постачання програмного забезпечення для програми, але рішення про використання будь-якого постачальника приймав розробник, який вирішував проблему з функціями, а не бізнесмен, зосереджений на бізнес-ризиках», — говорить він.
Це викликало заклики до реалізації специфікації програмного забезпечення (SBOMs). А в травні МИТР запущений
прототип інфраструктури для інформаційно-комунікаційних технологій (ІКТ), який визначає та кількісно оцінює ризики та проблеми безпеки в ланцюжку постачання, включаючи програмне забезпечення.
