Nepoznati haker koristi maliciozne npm pakete s ciljem da ukrade izvorni kod i konfiguracijske datoteke sa žrtvinih mašina, što je znak kako prijetnje stalno vrebaju u spremištima otvorenog koda.
“Haker koji stoji iza ove kampanje povezan je sa malicioznom aktivnošću koja datira još od 2021. godine”, rekla je firma za sigurnost lanca nabave softvera Checkmarx u izvještaju podijeljenom za The Hacker News. “Od tada, kontinuirano objavljuju maliciozne pakete.”
Najnoviji izvještaj je nastavak iste kampanje koju je Phylum otkrio početkom mjeseca u kojoj je određeni broj npm modula dizajniran za eksfiltriranje vrijednih informacija na udaljeni server.
Paketi su, po dizajnu, konfigurisani da se izvrše odmah nakon instalacije pomoću postinstall kuke definisane u datoteci package.json. To pokreće pokretanje preinstall.js, koji stvara index.js za hvatanje sistemskih metapodataka, kao i prikupljanje izvornog koda i tajni iz određenih direktorija.
Napad kulminira sa skriptom koja kreira ZIP arhivu podataka i prenosi ih na unaprijed definisani FTP server.
Zajednička osobina koja povezuje sve pakete je upotreba “lexi2” kao autora u datoteci package.json, omogućavajući Checkmarxu da prati porijeklo aktivnosti još od 2021. godine.
Iako su tačni ciljevi kampanje nejasni, upotreba naziva paketa kao što su binarium-client, binarium-crm i rocketrefer sugeriše da je ciljanje usmjereno na sektor kriptovaluta.
„Sektor kriptovaluta ostaje vruća meta i važno je prepoznati da se ne borimo samo sa malicioznim paketima, već i sa upornim protivnicima čiji kontinuirani i pomno planirani napadi datiraju mjesecima ili čak godinama unazad“, rekao je istraživač sigurnosti Yehuda Gelb.
Izvor: The Hacker News