Svijet softvera otvorenog koda nudi bezbroj prednosti programerima širom svijeta. Međutim, sa prilikama dolaze i rizici. Tim FortiGuard Labsa nedavno je otkrio brojne zlonamjerne pakete unutar npm-a, najopsežnijeg softverskog registra za JavaScript. Ovaj članak zalazi dublje u ove pakete, otkrivajući prijetnju koju oni predstavljaju korisnicima i sistemima.
Zaronimo u detalje
Tokom niza otkrića, tim FortiGuard Labs je kategorizovao maliciozne pakete na osnovu njihovih stilova kodiranja i taktika:
- Prvi set: Skriveni zlonamjerni kod unutar zamagljenih index.js skripti koje krišom izdvajaju podatke kao što su Kubernetes konfiguracije i SSH ključevi.
- Drugi set: Ovi paketi traže vrijedne podatke, identifikuju i prenose datoteke koje sadrže osjetljive podatke putem HTTP GET zahtjeva.
- Treći i četvrti set: Putem instalacionih skripti index.mjs, ovi paketi koriste Discord web-hookove za neovlašćenu eksfiltraciju podataka, razlikuju se samo po svom pristupu kodiranju.
- Peti i šesti skup: Oba skupa se prvenstveno fokusiraju na izdvajanje informacija o hostu i korisniku, koristeći različite index.js skripte za instalaciju.
- Sedmi set: Dok koriste installer.js skriptu za instalaciju, ovi paketi uvode ranjivost tako što onemogućavaju provjeru valjanosti TLS certifikata, otvarajući vrata potencijalnim MITM napadima.
- Osmi set: Ovaj paket automatski preuzima i pokreće sumnjive izvršne datoteke.
- Deveti set: Koristeći jedinstvenu metodu skriptiranja, ovaj paket prikuplja informacije o sistemu žrtve, prenoseći ih na Discord webhook.
Zaključak
Zlonamjerni npm paketi ističu značajnu i često zanemarenu prijetnju unutar ekosistema otvorenog koda. Iako su prednosti otvorenog koda nesporne, jednako je bitno prepoznati i riješiti rizike koje predstavljaju zlonamjerni hakeri koji iskorištavaju povjerenje i otvorenu prirodu ovih platformi.
Izvor: Cyware Alerts – Hacker News