Μια ροή κακόβουλων πακέτων npm και PyPi έχει βρεθεί να κλέβει ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγραμματιστές λογισμικού στις πλατφόρμες.
Η εκστρατεία ξεκίνησε στις 12 Σεπτεμβρίου
2023
και ήταν
ανακαλύφθηκε για πρώτη φορά από τη Sonatype
οι αναλυτές του οποίου ανακάλυψαν 14 κακόβουλα πακέτα στο npm.
Η Phylum αναφέρει ότι μετά από μια σύντομη επιχειρησιακή παύση στις 16 και 17 Σεπτεμβρίου, η επίθεση συνεχίστηκε και επεκτάθηκε στο οικοσύστημα PyPI.
Από την αρχή της
καμπάνια
ς, οι εισβολείς έχουν ανεβάσει 45 πακέτα στο npm (40) και στο PyPI (5), με παραλλαγές στον κώδικα που υποδεικνύουν μια ταχεία
εξέλιξη
στην επίθεση.
Κακόβουλα πακέτα
Η πλήρης λίστα των κακόβουλων πακέτων που διανέμονται σε αυτήν την καμπάνια βρίσκεται στην κάτω ενότητα του
Έκθεση Phylum
.
Ωστόσο, αξίζει να σημειωθεί ότι τα ακόλουθα πακέτα χρησιμοποίησαν το typosquatting για να μοιάζουν με νόμιμα δημοφιλή πακέτα, τα οποία μπορούν να εξαπατήσουν τους προγραμματιστές να τα εγκαταστήσουν:
- shineouts και @dynamic-form-components/shineout – μιμούμενος τη δημοφιλή βιβλιοθήκη React “Shineout”
-
apm-web-vitals – θα μπορούσε να περάσει ως “APM” (παρακολούθηση απόδοσης
εφαρμογή
ς) για τη βιβλιοθήκη “web-vitals” της Google που μετρά την απόδοση ιστού - eslint-plugin-shein-soc-raw και @spgy/eslint-plugin-spgy-fe – προσποιούμενοι ότι είναι πρόσθετα ESLint
Σύμφωνα με το Phylum, τουλάχιστον επτά διαφορετικά κύματα επίθεσης και αρκετές φάσεις περιείχαν τροποποιήσεις κώδικα για να βελτιώσουν το μυστικό και να προσθέσουν πιο συγκεκριμένη στόχευση.
Τα πρώτα κύματα επίθεσης σημειώθηκαν μεταξύ 12 και 15 Σεπτεμβρίου, με τους παράγοντες απειλών να ανεβάζουν νέα σετ πακέτων καθημερινά, φτάνοντας συνολικά τα 33 πακέτα.
Τα μεταγενέστερα κύματα επίθεσης σημειώθηκαν στις 18 Σεπτεμβρίου (τρία πακέτα), στις 20 Σεπτεμβρίου (πέντε πακέτα) και στις 24 Σεπτεμβρίου (4 πακέτα).
Στα αρχικά κύματα, τα πακέτα είχαν σκληρά κωδικοποιημένες ρουτίνες συλλογής δεδομένων και διήθησης, που περιείχαν εσωτερικά τον κώδικα συλλογής δεδομένων σε μορφή απλού κειμένου, γεγονός που τα έκανε επιρρεπή στην ανίχνευση.
Οι μεσαίες επαναλήψεις εισήγαγαν πιο σύνθετους μηχανισμούς όπως η ανάκτηση και η εκτέλεση του σεναρίου bash συλλογής δεδομένων από έναν εξωτερικό τομέα.
Ανάκτηση του σεναρίου bash από εξωτερική πηγή
(Ζωολογική διαίρεσις)
Επίσης, οι συγγραφείς πρόσθεσαν ένα άγκιστρο “προεγκατάστασης” για την αυτόματη εκτέλεση κακόβουλης JavaScript κατά την εγκατάσταση.
Τα πιο πρόσφατα πακέτα χρησιμοποιούσαν την κωδικοποίηση base64 για να αποφύγουν την ανάλυση, η οποία αργότερα αναβαθμίστηκε σε κωδικοποίηση διπλής βάσης64.
Γενικά, οι εισβολείς συμμετείχαν σε μια συνεχή διαδικασία δοκιμής και βελτίωσης κώδικα και παρέδωσαν ακόμη και πακέτα που εξειδικεύονταν σε ορισμένες πτυχές της συλλογής δεδομένων περισσότερο από άλλες.
Απειλή κλοπής πληροφοριών
Τα δεδομένα που έχουν κλαπεί από τα πακέτα περιλαμβάνουν ευαίσθητες πληροφορίες μηχανήματος και χρήστη.
Τα στοιχεία μηχανήματος και χρήστη που συλλέγονται περιλαμβάνουν όνομα κεντρικού υπολογιστή, όνομα χρήστη, τρέχουσα διαδρομή, έκδοση λειτουργικού συστήματος, εξωτερικές και εσωτερικές διευθύνσεις IP και έκδοση Python για πακέτα PyPI.
Αυτές οι λεπτομέρειες και οι διαμορφώσεις Kubernetes που είναι αποθηκευμένες σε αρχεία kubeconfig και ιδιωτικά κλειδιά SSH στο ~/.ssh/id_rsa γράφονται σε ένα αρχείο κειμένου (ConceptualTest.txt) και αποστέλλονται στους διακομιστές των εισβολέων.
Περιεχόμενο του σεναρίου bash
(Ζωολογική διαίρεσις)
Οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για να αποκαλύψουν τις πραγματικές ταυτότητες των προγραμματιστών και να δώσουν στους εισβολείς μη εξουσιοδοτημένη πρόσβαση σε συστήματα, διακομιστές ή υποδομές προσβάσιμες μέσω των κλεμμένων ιδιωτικών κλειδιών SSH.
Εάν οι κλεμμένες διαμορφώσεις Kubernetes περιέχουν διαπιστευτήρια για πρόσβαση σε συμπλέγματα, οι εισβολείς θα μπορούσαν να τροποποιήσουν τις αναπτύξεις, να προσθέσουν κακόβουλα κοντέινερ, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στο σύμπλεγμα, να μετακινηθούν πλευρικά ή να ξεκινήσουν μια επίθεση
ransomware
.
Συνιστάται στους χρήστες πλατφορμών διανομής κώδικα όπως οι PyPI και npm να είναι προσεκτικοί με τα πακέτα που κατεβάζουν και εκκινούν στα συστήματά τους, καθώς υπάρχει συνεχής εισροή κακόβουλου λογισμικού σε αυτά τα οικοσυστήματα.