![Početkom jula 2023., ReversingLabs je takođe razotkrio seriju od 13 lažnih npm modula koji su zajedno preuzeti oko 1.000 puta kao deo nove kampanje nazvane Operation Brainleeches . Ono po čemu se aktivnost ističe upotrebom nekih od paketa za olakšavanje prikupljanja akreditiva putem lažnih Microsoft 365 obrazaca za prijavu pokrenutih iz JavaScript priloga e-pošte, JavaScript datoteke koja dohvaća korisne podatke sljedeće faze od jsDelivr-a, mreže za isporuku sadržaja ( CDN ) za pakete koji se nalaze na npm-u. Drugim rečima, objavljeni npm moduli deluju kao infrastruktura podrške za hostovanje fajlova koji se koriste u napadima phishing-a e-pošte, kao i za izvođenje napada na lanac snabdevanja usmerenih protiv programera. Potonje se postiže implantiranjem skripti za prikupljanje akreditiva u aplikacije koje nenamjerno uključuju lažne npm pakete. Biblioteke su poslate na npm između 11. maja i 13. juna 2023. "Jedna od ključnih prednosti jsDelivra su direktne veze do datoteka: umjesto da koristite npm za instalaciju paketa i lokalno referenciranje, možete se direktno povezati s fajlom koji se nalazi na jsDelivrovom CDN-u", Check Point, koji je također izvijestio o istoj kampanji , rekao je . "Ali [...] čak i legalne usluge kao što je jsDelivr CDN mogu biti zloupotrebljene u zlonamjerne svrhe." - Kiber.ba](https://kiber.ba/wp-content/uploads/2023/08/Pronadeni-maliciozni-npm-paketi-koji-eksfiltriraju-osjetljive-podatke-programera-FTRD.webp)
Istraživači kibernetičke sigurnosti otkrili su novu gomilu malicioznih paketa u registru npm paketa koji su dizajnirani da eksfiltriraju osjetljive informacije o programerima.
Firma za lanac nabavke softvera Phylum, koja je prvi put identifikovala “testne” pakete 31. jula 2023. godine, rekla je da su oni “pokazali povećanu funkcionalnost i prefinjenost”, nekoliko sati nakon čega su uklonjeni i ponovo postavljeni pod različitim, legitimnim nazivima paketa.
Iako krajnji cilj poduhvata nije jasan, sumnja se da je riječ o visoko ciljanoj kampanji usmjerenoj na sektor kriptovaluta na osnovu referenci na module kao što su “rocketrefer” i “binarium”.
Sve pakete je objavio npm korisnik malikrukd4732. Zajednička karakteristika svih modula je mogućnost pokretanja JavaScript-a („index.js“) koji je opremljen za eksfiltriranje vrijednih informacija na udaljeni server.
“Indeks.js kod je stvoren u podređenom procesu pomoću datoteke preinstall.js,” rekao je tim istraživača Phyluma . “Ovu radnju zahtijeva postinstall hook definisan u datoteci package.json, koja se izvršava nakon instalacije paketa.”
Prvi korak podrazumijeva prikupljanje trenutnog korisničkog imena operativnog sistema i trenutnog radnog direktorijuma, nakon čega se GET zahtev sa prikupljenim podacima šalje na 185.62.57[.]60:8000/http. Tačna motivacija iza ovog napada trenutno je nepoznata, iako se vjeruje da bi se te informacije mogle koristiti za pokretanje “neviđenog ponašanja na strani servera”.
Nakon toga, skripta nastavlja da traži datoteke i direktorije koji odgovaraju određenom skupu ekstenzija: .env, .svn, .gitlab, .hg, .idea, .yarn, .docker, .vagrant, .github, .asp, .js , .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml i .cfg.
Sakupljeni podaci, koji takođe mogu sadržavati kredencijale i vrijednu intelektualnu svojinu, na kraju se prenose na server u obliku ZIP arhivske datoteke.
„Iako ovi direktoriji mogu sadržavati osjetljive informacije, vjerojatnije je da sadrže mnoštvo standardnih aplikacijskih datoteka koje nisu jedinstvene za sistem žrtve i stoga manje vrijedne za hakera, čiji je motiv usredotočen na ekstrakciju izvornog koda ili okruženja- specifične konfiguracijske datoteke”, rekao je Phylum.
Razvoj je najnoviji primjer repozitorija otvorenog koda koji se koriste za propagiranje malicioznog koda, a ReversingLabs i Sonatype identificiraju PyPI kampanju koja koristi sumnjive python pakete kao što su VMConnect, quantiumbase i ethter da kontaktiraju komandu i kontrolu (C2 ) server i pokušaju da preuzmeu neodređeni Base64 kodirani niz s dodatnim komandama.
„Budući da se dohvaćanje komandi vrši u beskonačnoj petlji, moguće je da operater C2 servera učitava komande tek nakon što se utvrdi da je zaražena mašina zanimljiva hakeru“, objasnio je istraživač bezbednosti Karlo Zanki .
“Alternativno, C2 server može obavljati neku vrstu filtriranja zahtjeva. Na primjer, hakeri mogu filtrirati zahtjeve na osnovu IP adrese zaražene mašine kako bi izbjegli zarazu ciljeva iz određenih zemalja.”
Početkom jula 2023. godine, ReversingLabs je takođe razotkrio seriju od 13 lažnih npm modula koji su zajedno preuzeti oko 1.000 puta kao deo nove kampanje nazvane Operation Brainleeches .
Ono po čemu se aktivnost ističe je upotreba nekih od paketa za olakšavanje prikupljanja akreditiva putem lažnih Microsoft 365 obrazaca za prijavu pokrenutih iz JavaScript priloga e-pošte, JavaScript datoteke koja dohvaća korisne podatke sljedeće faze od jsDelivr-a, mreže za isporuku sadržaja ( CDN ) za pakete koji se nalaze na npm-u.
Drugim rečima, objavljeni npm moduli djeluju kao infrastruktura podrške za hostovanje fajlova koji se koriste u napadima phishing-a e-pošte, kao i za izvođenje napada na lanac snabdijevanja usmerenih protiv programera.
Potonje se postiže implantiranjem skripti za prikupljanje akreditiva u aplikacije koje nenamjerno uključuju lažne npm pakete. Biblioteke su poslate na npm između 11. maja i 13. juna 2023. godine.
“Jedna od ključnih prednosti jsDelivra su direktne veze do datoteka: umjesto da koristite npm za instalaciju paketa i lokalno referenciranje, možete se direktno povezati s fajlom koji se nalazi na jsDelivrovom CDN-u”, Check Point, koji je također izvijestio o istoj kampanji , rekao je . “Ali […] čak i legalne usluge kao što je jsDelivr CDN mogu biti zloupotrebljene u zlonamjerne svrhe.”
Izvor: The Hacker News