More

    Stručnjaci otkrili više zlonamjernih npm paketa

    Svijet softvera otvorenog koda nudi bezbroj prednosti programerima širom svijeta. Međutim, sa prilikama dolaze i rizici. Tim FortiGuard Labsa nedavno je otkrio brojne zlonamjerne pakete unutar npm-a, najopsežnijeg softverskog registra za JavaScript. Ovaj članak zalazi dublje u ove pakete, otkrivajući prijetnju koju oni predstavljaju korisnicima i sistemima.

    Zaronimo u detalje

    Tokom niza otkrića, tim FortiGuard Labs je kategorizovao maliciozne pakete na osnovu njihovih stilova kodiranja i taktika:

    • Prvi set: Skriveni zlonamjerni kod unutar zamagljenih index.js skripti koje krišom izdvajaju podatke kao što su Kubernetes konfiguracije i SSH ključevi.
    • Drugi set: Ovi paketi traže vrijedne podatke, identifikuju i prenose datoteke koje sadrže osjetljive podatke putem HTTP GET zahtjeva.
    • Treći i četvrti set: Putem instalacionih skripti index.mjs, ovi paketi koriste Discord web-hookove za neovlašćenu eksfiltraciju podataka, razlikuju se samo po svom pristupu kodiranju.
    • Peti i šesti skup: Oba skupa se prvenstveno fokusiraju na izdvajanje informacija o hostu i korisniku, koristeći različite index.js skripte za instalaciju.
    • Sedmi set: Dok koriste installer.js skriptu za instalaciju, ovi paketi uvode ranjivost tako što onemogućavaju provjeru valjanosti TLS certifikata, otvarajući vrata potencijalnim MITM napadima.
    • Osmi set: Ovaj paket automatski preuzima i pokreće sumnjive izvršne datoteke.
    • Deveti set: Koristeći jedinstvenu metodu skriptiranja, ovaj paket prikuplja informacije o sistemu žrtve, prenoseći ih na Discord webhook.

    Zaključak

    Zlonamjerni npm paketi ističu značajnu i često zanemarenu prijetnju unutar ekosistema otvorenog koda. Iako su prednosti otvorenog koda nesporne, jednako je bitno prepoznati i riješiti rizike koje predstavljaju zlonamjerni hakeri koji iskorištavaju povjerenje i otvorenu prirodu ovih platformi.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories