Istraživači cyber bezbjednosti otkrili su tri maliciozna paketa u npm registru koji se predstavljaju kao popularna biblioteka za Telegram botove, ali u stvarnosti sadrže SSH backdoor i mogućnosti za eksfiltraciju podataka.
U pitanju su sljedeći paketi:
- node-telegram-utils (132 preuzimanja)
- node-telegram-bots-api (82 preuzimanja)
- node-telegram-util (73 preuzimanja)
Prema firmi Socket koja se bavi sigurnošću u lancu snabdijevanja softverom, ovi paketi su dizajnirani da imitiraju node-telegram-bot-api, popularnu Node.js biblioteku koja ima preko 100.000 sedmičnih preuzimanja. Uprkos prijetnji, ova tri paketa su i dalje dostupna za preuzimanje.
“Iako broj preuzimanja djeluje skromno, dovoljan je samo jedan kompromitovan sistem da omogući široku infiltraciju ili neovlašteni pristup podacima”, rekao je istraživač sigurnosti Kush Pandya.
Tehnika “Starjacking” i SSH pristup
Maliciozni paketi ne samo da kopiraju opis legitimne biblioteke, već koriste i tehniku poznatu kao starjacking kako bi izgledali autentično i prevarili nesumnjičave programere da ih instaliraju.
Starjacking je metoda pomoću koje se maliciozni paket lažno predstavi kao popularniji, tako što se vezuje za GitHub repozitorij legitimne biblioteke, bez stvarne validacije odnosa između paketa i repozitorija.
Prema analizi kompanije Socket, paketi su specifično razvijeni za Linux sisteme, gdje dodaju dva SSH ključa u fajl ~/.ssh/authorized_keys, omogućavajući napadačima stalni daljinski pristup kompromitovanom sistemu.
Sakupljanje podataka i komanda na čekanju
Skripta takođe prikuplja korisničko ime sistema i eksternu IP adresu kontaktiranjem servisa ipinfo[.]io/ip, i šalje signal na server solana.validator[.]blog da bi potvrdila infekciju.
Ono što ove pakete čini posebno opasnima jeste činjenica da njihovo uklanjanje ne briše SSH ključeve, ostavljajući otvorena vrata napadačima za daljnju eksploataciju sistema.
Još jedan maliciozni paket otkriven: @naderabdi/merchant-advcash
Otkriće dolazi u isto vrijeme kad je Socket otkrio još jedan maliciozni paket, @naderabdi/merchant-advcash, koji je programiran da pokrene reverse shell ka udaljenom serveru, dok se predstavlja kao integracija sa Volet (bivši Advcash) platformom.
“Za razliku od mnogih malicioznih paketa koji izvršavaju kod prilikom instalacije, ovaj payload se aktivira tek u toku izvođenja, tačnije nakon potvrde uspješne transakcije,” istakla je kompanija.
“Ovakav pristup pomaže da se maliciozni kod sakrije, jer se izvršava samo pod određenim uslovima u runtime okruženju.”
Izvor:The Hacker News