Hakeri koriste tehnike testiranja sigurnosti van-pojasnih aplikacija (OAST) u npm, PyPI i RubyGems ekosistemima kako bi izveli višefazne napade, uspostavili komandne i kontrolne (C2) kanale i eksfiltrirali osjetljive podatke.
OAST alati, koje je prvobitno razvio PortSwigger-ov Burp Collaborator, a potom usvojili servisi kao što je Project Discovery interact.sh, omogućavaju etičkim istraživačima da rade HTTP zahtjeve, DNS pretraživanja i druge mrežne interakcije izvan parametara konvencionalnog testiranja.
Nažalost, hakeri također prisvajaju ove moćne vještine i koriste ih da otkriju kritična područja u sistemima žrtava ili da tajno eksfiltriraju podatke.
Oružavanje paketa npm, PyPI i Ruby Exploit
Npm paket adobe-dcapi-web se pretvara da je povezan sa Adobe API-jem koristeći varljivo visoke brojeve verzija (npr. 99.99.95—99.99.99) da bi prevario programere i automatizovane skripte da poveruju da je to „najnovija“ nadogradnja.
Istraživači soketa izvještavaju da paket uključuje zamagljeni JavaScript kod koji identificira virtuelizirana okruženja, ispituje lokaciju sistema i zaustavlja izvršavanje ako otkrije rusku adresu.
Zlonamjerni kod eksfiltrira osjetljive podatke na oastify.com kada ove provjere budu uspješne.
Nadalje, haker je konstruisao monolit koji je vrlo sličan stvarnom monolitu biblioteke tako što je obrnuo jedno slovo u monolitu PyPI paketa.
Domeni maliciozne skripte se koriste za diskretno prikupljanje metapodataka od žrtve, uključujući njihovo ime hosta, korisničko ime i trenutni radni direktorij.
RubyGems paket uključuje chauuuyhhn, nosvemosssadfsd i holaaaaaafasdf.
Ovi dragulji imaju ugrađene skripte koje su namijenjene za eksfiltriranje privatnih podataka, uključujući imena hostova, vanjske IP adrese, varijable korisničkog okruženja, trenutne radne direktorije i nazive foldera, do krajnje točke oastify.com koju kontroliše napadač putem DNS upita.
Ova tehnika omogućava hakeru da izvrši početno izviđanje sa smanjenom šansom za otkrivanje jer DNS saobraćaj često izgleda bezopasan za jednostavne sisteme za otkrivanje upada.
Istraživači predviđaju da će hakeri nastaviti koristiti iste metode testiranja izvan opsega u nezakonite svrhe u budućnosti.
Izvor: CyberSecurityNews
