Primijećeni su hakeri kako učitavaju zlonamjerne typosquatove legitimnih npm paketa kao što su typescript-eslint i @types/node koji su nagomilali hiljade preuzimanja u registru paketa.
Falsifikatovane verzije, nazvane @typescript_eslinter/eslint i types-node , dizajnirane su za preuzimanje trojanca i preuzimanja korisnih podataka druge faze.
“Dok su tipski napadi jedva da su novi, napori koje su malicozni haker uložili na ove dvije biblioteke da ih prikažu kao legitimne je vrijedan pažnje”, rekao je Sonatype’s Axe Sharma u analizi objavljenoj u srijedu.
„Štaviše, veliki broj preuzimanja za pakete kao što je „tipovi-čvor“ su znakovi koji upućuju na to da neki programeri možda padaju na ove tipske greške, kao i hakeri koji vještački naduvavaju taj broj kako bi povećali pouzdanost svojih malicioznih komponenti.“
npm lista za @typescript_eslinter/eslint, otkrila je Sonatypeova analiza, ukazuje na lažno GitHub skladište koje je postavio nalog pod nazivom ” typescript-eslinter ,” koji je kreiran 29. novembra 2024. Unutar ovog paketa je datoteka pod nazivom ” ljepši.bat .”
Drugi paket povezan sa istim npm/GitHub nalogom se zove @typescript_eslinter/prettier. On oponaša dobro poznati alat za oblikovanje koda istog imena, ali je u stvarnosti konfigurisan da instalira lažnu biblioteku @typescript_eslinter/eslint.
Malicozne biblioteka sadrži kod za ispuštanje “prettier.bat” u privremeni direktorij i dodavanje u Windows Startup folder tako da se automatski pokreće svaki put kada se mašina ponovo pokrene.
“Ipak, daleko od toga da je ‘batch’ datoteka, datoteka “prettier.bat” je zapravo Windows izvršna datoteka (.exe) koja je prethodno bila označena kao trojanac i dropper na VirusTotal-u ,” rekao je Sharma.
S druge strane, drugi paket, type-node, uključuje instrukcije da se dođe do Pastebin URL-a i dohvati skripte koje su odgovorne za pokretanje malicioznog izvršnog fajla koji je lažno nazvan ” npm.exe “.
“Slučaj naglašava hitnu potrebu za poboljšanim mjerama sigurnosti lanca nabavke i većom budnošću u praćenju programera registra softvera trećih strana”, rekao je Sharma.
Razvoj dolazi kada je ReversingLabs identifikovao nekoliko malicioznih ekstenzija koje su prvobitno otkrivene na Visual Studio Code (VSCode) Marketplaceu u oktobru 2024. godine, mesec dana nakon čega se jedan dodatni paket pojavio u npm registru. Paket je privukao ukupno 399 preuzimanja.
Lista lažnih VSCode ekstenzija, sada uklonjenih iz trgovine, je ispod –
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoCommunications.Zoom
- ZoomINC.Zoom-Workplace
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom
- ethereumorg.Solidity-Language-for-Ethereum
- VitalikButerin.Solidity-Ethereum
- SolidityFoundation.Solidity-Ethereum
- EthereumFoundation.Solidity-Language-for-Ethereum
- SOLIDITY.Solidity-Language
- GavinWood.SolidityLang
- EthereumFoundation.Solidity-for-Ethereum-Language
“Kampanja je počela ciljanjem na kripto zajednicu, ali do kraja oktobra objavljena proširenja uglavnom su oponašala Zoom aplikaciju”, rekla je istraživačica ReversingLabsa Lucija Valentić . “I svako maliciozno proširenje objavljeno je bilo sofisticiranije od prethodnog.”
Utvrđeno je da sve ekstenzije kao i npm paket uključuju zamagljeni JavaScript kod, koji djeluje kao program za preuzimanje drugog stupnja korisnog opterećenja sa udaljenog servera. Tačna priroda tereta trenutno nije poznata.
Nalazi još jednom naglašavaju potrebu za oprezom kada je u pitanju preuzimanje alata i biblioteka iz sistema otvorenog koda i izbjegavanje uvođenja malicioznog koda kao zavisnost u veći projekat.
„Mogućnost instaliranja dodataka i proširenja funkcionalnosti IDE-a čini ih vrlo atraktivnim metama za malicozne hakere“, rekao je Valentić. “VSCode ekstenzije se često zanemaruju kao sigurnosni rizik kada se instaliraju u IDE, ali kompromis IDE-a može biti polazna tačka za dalji kompromis razvojnog ciklusa u preduzeću.”
Izvor:The Hacker News
