Istraživači iz oblasti cyber sigurnosti otkrili su da su nekoliko paketa vezanih za kriptovalute na npm registru hakovani kako bi izvlačili osjetljive informacije, poput varijabli okruženja, sa kompromitovanih sistema.
„Neki od ovih paketa su prisutni na npmjs.com već više od devet godina i pružaju legitimnu funkcionalnost blockchain programerima,“ izjavio je istraživač Sonatype-a, Ax Sharma. „Međutim, […] najnovije verzije ovih paketa sadrže obfuskovane skripte.“
Lista pogođenih paketa i njihovih kompromitovanih verzija:
- country-currency-map (2.1.8)
- bnb-javascript-sdk-nobroadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- eslint-config-travix (6.3.1)
- @crosswise-finance1/sdk-v2 (0.1.21)
- @keepkey/device-protocol (7.13.3)
- @veniceswap/uikit (0.65.34)
- @veniceswap/eslint-config-pancake (1.6.2)
- babel-preset-travix (1.2.1)
- @travix/ui-themes (1.1.5)
- @coinmasters/types (4.8.16)
Maliciozne skripte u paketima
Sigurnosna analiza ovih paketa otkrila je da su zaraženi jako obfuskovanim kodom u dvije različite skripte:
- “package/scripts/launch.js”
- “package/scripts/diagnostic-report.js”
Ove JavaScript skripte se pokreću odmah nakon instalacije paketa, s ciljem prikupljanja osjetljivih podataka kao što su:
- API ključevi
- Pristupni tokeni
- SSH ključevi
Prikupljeni podaci se zatim eksfiltriraju na udaljeni server:
eoi2ectd5a5tn1h.m.pipedream[.]net
Nepoznata metoda upada
Zanimljivo je da nijedan od povezanih GitHub repozitorija nije modifikovan kako bi uključivao isti maliciozni kod. Ovo otvara pitanje kako su napadači uspjeli ubaciti zlonamjerni kod u npm pakete.
Još uvijek nije poznato koji je krajnji cilj ove kampanje.
Kako je došlo do hakovanja?
Prema hipotezi istraživača, napad je vjerovatno rezultat:
1️⃣ Kompromitovanih npm naloga starih održavatelja, putem:
- Credential Stuffing napada (gdje napadači koriste korisnička imena i lozinke procurjele iz ranijih curenja podataka)
- Preuzimanja domena čiji su certifikati istekli
2️⃣ Manje vjerovatne, ali moguće opcije:
- Organizovani phishing napadi na održavatelje projekata
S obzirom na istovremeno hakovanje više projekata različitih održavatelja, izgleda da je preuzimanje naloga vjerovatniji uzrok od koordinisanog phishing napada.
Naučene lekcije: Potreba za boljim sigurnosnim mjerama
- Dvofaktorska autentifikacija (2FA) je ključna za sprečavanje ovakvih napada.
- Otvoreni kod projekti koji su napušteni ili neaktivni predstavljaju ozbiljan sigurnosni rizik.
- Organizacije moraju povećati nadzor nad sigurnosnim rizicima povezanim s eksternim zavisnostima.
„Ovaj slučaj naglašava hitnu potrebu za poboljšanim mjerama sigurnosti lanca snabdijevanja softverom i povećanom pažnjom prilikom praćenja trećih strana u softverskim registrima“, zaključuje Sharma.
Izvor:The Hacker News