Sebanyak 60 paket NPM berbahaya telah ditemukan dalam registri paket dengan fungsionalitas berbahaya untuk memanen nama host, alamat IP, server DNS, dan direktori pengguna ke titik akhir yang dikendalikan oleh perselisihan.
Paket -paket tersebut, yang diterbitkan di bawah tiga akun yang berbeda, hadir dengan skrip install -time yang dipicu selama pemasangan NPM, peneliti keamanan soket Kirill Boychenko mengatakan dalam sebuah laporan yang diterbitkan minggu lalu. Perpustakaan telah diunduh secara kolektif lebih dari 3.000 kali.
“Script menargetkan sistem Windows, MacOS, atau Linux, dan termasuk pemeriksaan unggulan kotak pasir dasar, menjadikan setiap workstation yang terinfeksi atau simpul integrasi kontinu sebagai sumber potensial pengintaian yang berharga,” kata perusahaan keamanan rantai pasokan perangkat lunak tersebut.
Nama-nama dari tiga akun, yang masing-masing menerbitkan 20 paket dalam periode waktu 11 hari, tercantum di bawah ini. Akun tidak ada lagi di NPM –
- BBBB335656
- cdsfdfafd1232436437, dan
- SDSDS656565
Kode berbahaya, per soket, secara eksplisit dirancang untuk sidik jari setiap mesin yang menginstal paket, sementara juga membatalkan eksekusi jika mendeteksi bahwa ia berjalan di lingkungan tervirtualisasi yang terkait dengan Amazon, Google, dan lainnya.
Informasi yang dipanen, yang mencakup detail host, server DNS sistem, informasi kartu antarmuka jaringan (NIC), dan alamat IP internal dan eksternal, kemudian dikirim ke Webhook Perselisihan.
“Dengan memanen alamat IP internal dan eksternal, server DNS, nama pengguna, dan jalur proyek, memungkinkan aktor ancaman untuk memetakan jaringan dan mengidentifikasi target bernilai tinggi untuk kampanye di masa depan,” kata Boychenko.
Pengungkapan ini mengikuti set delapan paket NPM lain yang menyamar sebagai perpustakaan penolong untuk kerangka kerja JavaScript yang banyak digunakan termasuk React, Vue.js, Vite, Node.js, dan editor pena sumber terbuka, tetapi menggunakan muatan destruktif yang pernah dipasang. Mereka telah diunduh lebih dari 6.200 kali dan masih tersedia untuk diunduh dari repositori –
- vite-plugin-vue-extend
- Quill-Image-Downloader
- js-hood
- JS-bomb
- bom vue-plugin
- bom vite-plugin
- vite-plugin-bomb-extend, dan
- vite-plugin-react-extend
“Menyamer sebagai plugin dan utilitas yang sah sambil diam -diam berisi muatan destruktif yang dirancang untuk data korup, menghapus file kritis, dan sistem crash, paket -paket ini tetap tidak terdeteksi,” kata peneliti keamanan soket Kush Pandya.
Beberapa paket yang diidentifikasi telah ditemukan untuk dieksekusi secara otomatis setelah pengembang memohon mereka dalam proyek mereka, memungkinkan penghapusan file rekursif yang terkait dengan Vue.js, React, dan Vite. Lainnya dirancang untuk membuat metode javascript mendasar yang merusak atau merusak mekanisme penyimpanan browser seperti LocalStorage, SessionStorage, dan Cookie.
Paket catatan lainnya adalah JS-Bomb, yang melampaui menghapus file kerangka kerja VUE.JS dengan juga memulai shutdown sistem berdasarkan waktu eksekusi saat ini.
Kegiatan ini telah ditelusuri ke aktor ancaman bernama Xuxingfeng, yang juga telah menerbitkan lima paket yang sah dan tidak berbahaya yang berfungsi sebagaimana dimaksud. Beberapa paket nakal diterbitkan pada tahun 2023. “Pendekatan ganda ini merilis paket berbahaya dan bermanfaat ini menciptakan fasad legitimasi yang membuat paket berbahaya lebih mungkin dipercaya dan dipasang,” kata Pandya.
Temuan ini juga mengikuti penemuan kampanye serangan baru yang menggabungkan phishing email tradisional dengan kode JavaScript yang merupakan bagian dari paket NPM berbahaya yang disamarkan sebagai perpustakaan open-source yang jinak.
“Setelah komunikasi didirikan, paket itu memuat dan mengirimkan skrip tahap kedua yang disesuaikan tautan phishing menggunakan alamat email korban, membawa mereka ke halaman login Office 365 palsu yang dirancang untuk mencuri kredensial mereka,” kata peneliti Fortra Israel Cerda.
Titik awal serangan adalah email phishing yang berisi file .htm berbahaya, yang mencakup kode JavaScript terenkripsi yang dihosting di JSDELIVR dan terkait dengan paket NPM yang sekarang dikeluarkan bernama CitiyCar8. Setelah diinstal, payload JavaScript yang tertanam dalam paket digunakan untuk memulai rantai pengalihan URL yang pada akhirnya membawa pengguna ke halaman arahan palsu yang dirancang untuk menangkap kredensial mereka.
“Serangan phishing ini menunjukkan tingkat kecanggihan yang tinggi, dengan aktor ancaman yang menghubungkan teknologi seperti enkripsi AES, paket NPM yang dikirim melalui CDN, dan beberapa pengalihan untuk menutupi niat jahat mereka,” kata Cerda.
“Serangan itu tidak hanya menggambarkan cara-cara kreatif yang dicoba oleh penyerang untuk menghindari deteksi tetapi juga menyoroti pentingnya kewaspadaan dalam lanskap ancaman keamanan siber yang terus berkembang.”
Penyalahgunaan repositori open-source untuk distribusi malware telah menjadi pendekatan yang telah dicoba dan diuji untuk melakukan serangan rantai pasokan pada skala. Dalam beberapa minggu terakhir, ekstensi pencucian data berbahaya juga telah terungkap di pasar Visual Studio Code (VS Code) Microsoft yang direkayasa untuk menyedot kredensial dompet cryptocurrency cryptocurrency dengan menargetkan pengembang soliditas di Windows.
Kegiatan ini telah dikaitkan dengan penelitian keamanan Datadog dengan aktor ancaman yang dilacaknya sebagai MUT-9332. Nama ekstensi adalah sebagai berikut –
- Solaibot
- Antara-et, dan
- Blankebesxstnion
“Ekstensi menyamarkan diri mereka sebagai kode berbahaya yang sah, menyembunyikan dalam fitur asli, dan menggunakan domain perintah dan kontrol yang tampak relevan dengan soliditas dan yang biasanya tidak akan ditandai sebagai jahat,” kata peneliti DataDog.
“Ketiga ekstensi menggunakan rantai infeksi kompleks yang melibatkan banyak tahap malware yang dikaburkan, termasuk yang menggunakan muatan yang tersembunyi di dalam file gambar yang di -host di arsip internet.”
Secara khusus, ekstensi diiklankan sebagai penawaran pemindaian sintaks dan deteksi kerentanan untuk pengembang soliditas. Meskipun mereka menawarkan fungsionalitas asli, ekstensi juga dirancang untuk memberikan muatan berbahaya yang mencuri kredensial dompet cryptocurrency dari sistem jendela korban. Tiga ekstensi sejak itu telah diturunkan.
Tujuan akhir dari ekstensi kode VS adalah untuk menyelipkan ekstensi browser berbasis kromium berbahaya yang mampu menjarah dompet ethereum dan membocorkannya ke titik akhir perintah-dan-kontrol (C2).
Ini juga dilengkapi untuk menginstal eksekusi terpisah yang menonaktifkan pemindaian Windows Defender, memindai direktori data aplikasi untuk perselisihan, browser berbasis kromium, dompet cryptocurrency, dan aplikasi elektron, dan mengambil dan menjalankan muatan tambahan dari server jarak jauh.
MUT-9332 juga dinilai berada di balik kampanye yang baru-baru ini diungkapkan yang melibatkan penggunaan 10 ekstensi vs kode jahat untuk menginstal cryptominer XMRIG dengan lulus sebagai alat pengkodean atau kecerdasan buatan (AI).
“Kampanye ini menunjukkan panjang yang mengejutkan dan kreatif di mana Mut-9332 bersedia untuk pergi ketika datang untuk menyembunyikan niat jahat mereka,” kata Datadog. “Pembaruan muatan ini menunjukkan bahwa kampanye ini kemungkinan akan berlanjut, dan deteksi dan penghapusan batch pertama ekstensi kode vs jahat ini dapat mendorong MUT-9332 untuk mengubah taktik pada yang berikutnya.”
