Pronađen je niz zlonamjernih npm i PyPi paketa koji kradu širok spektar osjetljivih podataka od programera softvera na platformama.
Kampanja je započela 12. septembra 2023. godine, a prvi je otkrio Sonatype , čiji su analitičari iskopali 14 zlonamjernih paketa na npm-u.
Phylum izvještava da je nakon kratke operativne pauze 16. i 17. septembra napad nastavljen i proširen na PyPI ekosistem.
Od početka kampanje, hakeri su postavili 45 paketa na npm (40) i PyPI (5), sa varijantama u kodu koje ukazuju na brzu evoluciju napada.
Maliciozni paketi
Kompletnu listu zlonamjernih paketa distribuiranih u ovoj kampanji možete pronaći u donjem dijelu Phylum izvještaja.
Međutim, vrijedno je primijetiti da su sljedeći paketi koristili typosquatting kako bi ličili na legitimne popularne pakete, što može navesti programere da ih instaliraju:
- shineouts i @dynamic-form-components/shineout – oponašajući popularnu React biblioteku “Shineout”
- apm-web-vitals – može proći kao “APM” (nadgledanje performansi aplikacije) za Googleovu biblioteku “web-vitals” koja mjeri web performanse
- eslint-plugin-shein-soc-raw i @spgy/eslint-plugin-spgy-fe – pretvaraju se da su ESLint dodaci
- ssc-concurrent-log-handler & sc-concurrent-log-handler – pretvarajući se da su legitimni uslužni programi za evidentiranje
Prema Phylum-u, najmanje sedam različitih talasa napada i nekoliko faza sadržavale su modifikacije koda za poboljšanje prikrivenosti i dodavanje specifičnijeg ciljanja.
Prvi talasi napada desili su se između 12. i 15. septembra, pri čemu su hakeri svakodnevno postavljali nove pakete, dostigavši ukupno 33 paketa.
Kasniji talasi napada desili su se 18. septembra (tri paketa), 20. septembra (pet paketa) i 24. septembra (4 paketa).
U početnim talasima, paketi su imali tvrdo kodirane rutine za prikupljanje podataka i eksfiltraciju, koje su interno sadržavale kod za prikupljanje podataka u obliku običnog teksta, što ih je činilo podložnim otkrivanju.
Srednje iteracije uvele su složenije mehanizme poput preuzimanja i izvršavanja bash skripte za prikupljanje podataka iz vanjskog domena.
Također, autori su dodali “preinstall” kuku za automatsko pokretanje zlonamjernog JavaScripta nakon instalacije.
Najnoviji paketi su koristili base64 kodiranje da bi se izbjegla analiza, koje je kasnije nadograđeno na dvostruko base64 kodiranje.
Generalno, hakeri su se uključili u kontinuisano testiranje koda i proces preciziranja, pa čak i isporučili pakete koji su se više specijalizovali za neke aspekte prikupljanja podataka od drugih.
Prijetnja krađe informacija
Podaci ukradeni od strane paketa uključuju osjetljive podatke o mašini i korisniku.
Prikupljeni podaci o mašini i korisniku uključuju ime hosta, korisničko ime, trenutnu putanju, verziju OS-a, eksterne i interne IP adrese i Python verziju za PyPI pakete.
Ovi detalji i Kubernetes konfiguracije pohranjene u kubeconfig fajlovima i SSH privatnim ključevima u ~/.ssh/id_rsa su zapisani u tekstualnoj datoteci (ConceptualTest.txt) i poslati na servere hakera.
Ukradene informacije mogu se koristiti za razotkrivanje stvarnih identiteta programera i davanje hakerima neovlaštenog pristupa sistemima, serverima ili infrastrukturi koja je dostupna putem ukradenih SSH privatnih ključeva.
Ako ukradene Kubernetes konfiguracije sadrže kredencijale za pristup klasterima, hakeri bi mogli modifikovati implementacije, dodati maliciozne kontejnere, pristupiti osjetljivim podacima pohranjenim u klasteru, pomjeriti se bočno ili pokrenuti napad ransomware-a.
Korisnicima platformi za distribuciju koda kao što su PyPI i npm savjetuje se da budu oprezni s tim koje pakete preuzimaju i pokreću na svojim sistemima, jer postoji stalan priliv malvera u tim ekosistemima.
Izvor: BleepingComputer
