- Преступники добавляют в npm сотни вредоносных пакетов
- Пакеты пытаются получить полезную нагрузку второго этапа для заражения машин.
- Преступники приложили все усилия, чтобы скрыть место размещения вредоносного ПО.
Разработчики программного обеспечения, особенно те, кто работает с криптовалютами, снова подвергаются атакам в цепочке поставок через репозитории с открытым исходным кодом.
Исследователи кибербезопасности из Phylum предупредили, что злоумышленник загрузил сотни вредоносных пакетов в репозиторий пакетов с открытым исходным кодом npm. Пакеты представляют собой версии Puppeteer и Bignum.js с опечатками. Разработчики, которым требуются эти пакеты для своих продуктов, могут случайно загрузить не ту версию, поскольку все они имеют одинаковые имена.
При использовании пакет подключается к скрытому серверу, извлекает вредоносную нагрузку второй стадии и заражает компьютеры разработчиков. «Двоичный файл, доставленный на машину, представляет собой упакованный пакет Vercel», — объяснили исследователи.
Скрытие IP-адреса
Кроме того, злоумышленники хотели сделать что-то еще при установке пакета, но поскольку файл не был включен в пакет, исследователи не смогли его проанализировать. «Очевидная оплошность автора вредоносного пакета», — говорят они.
Что отличает эту кампанию от других подобных кампаний по тайпсквоттингу в цепочке поставок, так это то, на что преступники пошли, чтобы скрыть контролируемые ими серверы.
«Из-за необходимости авторам вредоносных программ пришлось изо всех сил искать новые способы скрыть намерения и запутать удаленные серверы, находящиеся под их контролем», — говорят исследователи. «Это еще раз напоминание о том, что атаки на цепочки поставок живы и здоровы».
IP-адрес не виден в коде первого этапа. Вместо этого код сначала обращается к смарт-контракту Ethereum, где хранится IP-адрес. В конечном итоге это оказалось палкой о двух концах, поскольку блокчейн является постоянным и неизменным, что позволяет исследователям наблюдать за каждым IP-адресом, который когда-либо использовали мошенники.
Поскольку целью являются разработчики, работающие с криптовалютами, скорее всего, целью было украсть их исходные фразы и получить доступ к их кошелькам.
Разработчики программного обеспечения, особенно работающие в сфере Web3, часто становятся объектом таких атак. Поэтому необходимо перепроверить имена всех загруженных пакетов.
Над Арс Техника
Вам также может понравиться это
