Peneliti cybersecurity telah menemukan tiga paket jahat dalam registri NPM yang menyamar sebagai perpustakaan bot telegram populer tetapi backdoors ssh dan kemampuan exfiltrasi data.
Paket yang dimaksud tercantum di bawah ini –
Menurut firma keamanan rantai pasokan soket, paket tersebut dirancang untuk meniru node-telegram-bot-API, sebuah node.js telegram bot API dengan lebih dari 100.000 unduhan mingguan. Tiga perpustakaan masih tersedia untuk diunduh.
“Meskipun angka itu mungkin terdengar sederhana, hanya dibutuhkan satu lingkungan yang dikompromikan untuk membuka jalan bagi infiltrasi skala luas atau akses data yang tidak sah,” kata peneliti keamanan Kush Pandya.
“Insiden keamanan rantai pasokan berulang kali menunjukkan bahwa bahkan segelintir instalasi dapat memiliki dampak bencana, terutama ketika penyerang mendapatkan akses langsung ke sistem pengembang atau server produksi.”
Paket nakal tidak hanya mereplikasi deskripsi perpustakaan yang sah, tetapi juga memanfaatkan teknik yang disebut Starjacking dalam upaya untuk meningkatkan keaslian dan menipu pengembang yang tidak curiga untuk mengunduhnya.
Starjacking mengacu pada pendekatan di mana paket open-source dibuat lebih populer daripada dengan menghubungkan repositori github yang terkait dengan perpustakaan yang sah. Ini biasanya memanfaatkan validasi yang tidak ada dari hubungan antara paket dan repositori GitHub.
Analisis Socket menemukan bahwa paket tersebut dirancang untuk secara eksplisit bekerja pada sistem Linux, menambahkan dua tombol SSH ke file “~/.ssh/otorisasi_keys”, sehingga memberikan penyerang akses jarak jauh yang terus -menerus ke host.
Skrip ini dirancang untuk mengumpulkan nama pengguna sistem dan alamat IP eksternal dengan menghubungi “ipinfo[.]io/ip. “Ini juga mengungguli server eksternal (” solana.validator[.]Blog “) Untuk mengonfirmasi infeksi.
Apa yang membuat paket licik adalah bahwa menghapusnya tidak sepenuhnya menghilangkan ancaman, karena SSH Keys yang dimasukkan memberikan akses jarak jauh yang tidak terkekang ke aktor ancaman untuk eksekusi kode berikutnya dan exfiltrasi data.
Pengungkapan ini datang ketika Socket merinci paket jahat lain bernama @naderabdi/pedagang-penasihat yang direkayasa untuk meluncurkan shell terbalik ke server jarak jauh sambil menyamarkan sebagai integrasi volet (sebelumnya advcash).
“Paket @naderabdi/pedagang-advcash berisi logika hardcoded yang membuka cangkang terbalik ke server jarak jauh setelah doa penangan keberhasilan pembayaran,” kata perusahaan itu. “Ini disamarkan sebagai utilitas bagi pedagang untuk menerima, memvalidasi, dan mengelola pembayaran cryptocurrency atau fiat.”
“Tidak seperti banyak paket berbahaya yang menjalankan kode selama instalasi atau impor, muatan ini tertunda sampai runtime, khususnya, setelah transaksi yang berhasil. Pendekatan ini dapat membantu menghindari deteksi, karena kode berbahaya hanya berjalan dalam kondisi runtime tertentu.”
