Bốn gói chứa mã Python và JavaScript độc hại được làm xáo trộn cao đã được phát hiện trong tuần này trong kho lưu trữ Trình quản lý gói Node (npm).
Theo một báo cáo
từ Kaspersky, các gói độc hại này đã phát tán phần mềm độc hại “Volt Stealer” và “Lofy Stealer”, thu thập thông tin từ nạn nhân, bao gồm mã thông báo Discord và thông tin thẻ tín dụng, đồng thời theo dõi họ theo thời gian.
Volt Stealer được sử dụng để đánh cắp mã thông báo bất hòa và thu thập địa chỉ IP của mọi người từ các máy tính bị nhiễm, sau đó được tải lên các tác nhân độc hại thông qua HTTP.
Lofy Stealer, một mối đe dọa mới được phát triển, có thể lây nhiễm các tệp máy khách Discord và theo dõi hành động của nạn nhân. Ví dụ: phần mềm độc hại phát hiện khi người dùng đăng nhập, thay đổi chi tiết email hoặc mật khẩu hoặc bật hoặc tắt xác thực đa yếu tố (MFA). Nó cũng theo dõi khi người dùng thêm phương thức thanh toán mới và sẽ thu thập thông tin chi tiết về thẻ tín dụng đầy đủ. Thông tin được thu thập sau đó được tải lên điểm cuối từ xa.
Tên gói là “small-sm”, “pern-valids”, “lifeculer” và “proc-title”. Mặc dù npm đã xóa chúng khỏi kho lưu trữ nhưng các ứng dụng của bất kỳ nhà phát triển nào đã tải chúng xuống vẫn là mối đe dọa.
Hack mã thông báo bất hòa
Nhắm mục tiêu vào Discord mang lại nhiều khả năng tiếp cận vì mã thông báo Discord bị đánh cắp có thể được sử dụng để thực hiện các nỗ lực lừa đảo nhằm vào bạn bè của nạn nhân. Nhưng Derek Manky, chiến lược gia an ninh trưởng và phó chủ tịch tình báo mối đe dọa toàn cầu tại FortiGuard Labs của Fortinet, chỉ ra rằng bề mặt tấn công tất nhiên sẽ khác nhau giữa các tổ chức, tùy thuộc vào việc họ sử dụng nền tảng truyền thông đa phương tiện.
Ông giải thích: “Mức độ đe dọa sẽ không cao bằng đợt bùng phát Cấp 1 như chúng ta đã thấy trước đây - ví dụ: Log4j - do những khái niệm xung quanh bề mặt tấn công liên quan đến các vectơ này”.
Người dùng Discord có các tùy chọn để tự bảo vệ mình khỏi các kiểu tấn công này: “Tất nhiên, giống như bất kỳ ứng dụng nào bị nhắm mục tiêu, việc bao trùm chuỗi tiêu diệt là một biện pháp hiệu quả để giảm rủi ro và mức độ đe dọa,” Manky nói.
Điều này có nghĩa là phải thiết lập các chính sách để sử dụng Discord phù hợp theo hồ sơ người dùng, phân khúc mạng, v.v.
Tại sao npm được nhắm mục tiêu cho các cuộc tấn công chuỗi cung ứng phần mềm
Kho lưu trữ gói phần mềm npm có hơn 11 triệu người dùng và hàng chục tỷ lượt tải xuống các gói mà nó lưu trữ. Nó được sử dụng bởi cả các nhà phát triển Node.js có kinh nghiệm và những người sử dụng nó một cách tình cờ như một phần của các hoạt động khác.
Các mô-đun npm nguồn mở được sử dụng cả trong các ứng dụng sản xuất Node.js và trong công cụ dành cho nhà phát triển cho các ứng dụng không sử dụng Node. Nếu nhà phát triển vô tình lấy gói độc hại để xây dựng ứng dụng, phần mềm độc hại đó có thể tiếp tục nhắm mục tiêu vào người dùng cuối của ứng dụng đó. Do đó, các cuộc tấn công chuỗi cung ứng phần mềm như thế này mang lại nhiều khả năng tiếp cận hơn với ít nỗ lực hơn so với việc nhắm mục tiêu vào một công ty riêng lẻ.
Casey Bisson, người đứng đầu bộ phận hỗ trợ nhà phát triển và sản phẩm tại BluBracket, một nhà cung cấp giải pháp bảo mật mã, cho biết: “Việc các nhà phát triển sử dụng phổ biến khiến nó trở thành mục tiêu lớn”.
Bisson nói: Npm không chỉ cung cấp vectơ tấn công cho số lượng lớn mục tiêu mà bản thân các mục tiêu đó còn vượt ra ngoài phạm vi người dùng cuối.
Ông cho biết thêm: “Các doanh nghiệp và nhà phát triển cá nhân thường có nguồn lực lớn hơn dân số trung bình và các cuộc tấn công bên lề sau khi giành được vị trí dẫn đầu trong máy hoặc hệ thống doanh nghiệp của nhà phát triển nói chung cũng khá hiệu quả”.
Garwood Pang, nhà nghiên cứu bảo mật cao cấp tại Tigera, nhà cung cấp bảo mật và khả năng quan sát cho các vùng chứa, chỉ ra rằng mặc dù npm cung cấp một trong những trình quản lý gói phổ biến nhất cho JavaScript, nhưng không phải ai cũng hiểu cách sử dụng nó.
Ông nói: “Điều này cho phép các nhà phát triển truy cập vào một thư viện khổng lồ gồm các gói nguồn mở để nâng cao mã của họ”. “Tuy nhiên, do tính dễ sử dụng và số lượng danh sách, nhà phát triển thiếu kinh nghiệm có thể dễ dàng nhập các gói độc hại mà họ không hề hay biết.”
Tuy nhiên, việc xác định một gói độc hại không phải là điều dễ dàng. Tim Mackey, chiến lược gia bảo mật chính tại Trung tâm nghiên cứu an ninh mạng Synopsys, trích dẫn số lượng lớn các thành phần tạo nên một gói NodeJS điển hình.
Ông nói: “Việc có thể xác định cách triển khai chính xác bất kỳ chức năng nào đều gặp khó khăn khi có nhiều giải pháp hợp pháp khác nhau cho cùng một vấn đề”. “Thêm vào một cách triển khai độc hại mà sau đó các thành phần khác có thể tham chiếu và bạn sẽ có một công thức mà mọi người khó có thể xác định xem thành phần họ đang chọn có thực hiện đúng những gì ghi trên hộp hay không và không bao gồm hoặc tham chiếu đến điều không mong muốn.” chức năng.”
Hơn cả npm: Các cuộc tấn công vào chuỗi cung ứng phần mềm đang gia tăng
Các cuộc tấn công chuỗi cung ứng lớn đã có một tác động đáng kể về nhận thức bảo mật phần mềm và ra quyết định, với kế hoạch đầu tư nhiều hơn để giám sát các bề mặt tấn công.
Mackey chỉ ra rằng chuỗi cung ứng phần mềm luôn là mục tiêu, đặc biệt khi người ta xem xét các cuộc tấn công nhắm mục tiêu vào các khung như giỏ hàng hoặc công cụ phát triển.
Ông nói: “Những gì chúng tôi thấy gần đây là sự thừa nhận rằng các cuộc tấn công mà chúng tôi từng phân loại là phần mềm độc hại hoặc vi phạm dữ liệu trên thực tế là sự thỏa hiệp của các tổ chức tin cậy đặt trong phần mềm mà họ đang tạo và sử dụng”.
Mackey cũng nói rằng nhiều người cho rằng phần mềm do nhà cung cấp tạo ra hoàn toàn là tác giả của nhà cung cấp đó, nhưng trên thực tế, có thể có hàng trăm thư viện của bên thứ ba tạo nên ngay cả phần mềm đơn giản nhất — như được đưa ra ánh sáng với Log4j thất bại.
Ông nói: “Những thư viện đó là nhà cung cấp hiệu quả trong chuỗi cung ứng phần mềm cho ứng dụng, nhưng quyết định sử dụng bất kỳ nhà cung cấp cụ thể nào được đưa ra bởi nhà phát triển đang giải quyết vấn đề về tính năng chứ không phải bởi một doanh nhân tập trung vào rủi ro kinh doanh”.
Điều đó đã thúc đẩy các lời kêu gọi thực hiện hóa đơn nguyên vật liệu phần mềm (SBOMs). Và, vào tháng XNUMX, MITRE phát động
một khuôn khổ nguyên mẫu cho công nghệ thông tin và truyền thông (ICT) xác định và định lượng các rủi ro và mối lo ngại về bảo mật đối với chuỗi cung ứng — bao gồm cả phần mềm.
