Circa 60 pacchetti NPM dannosi sono stati scoperti nel registro dei pacchetti con funzionalità dannose per raccogliere nomi host, indirizzi IP, server DNS e listing utente a un endpoint controllato da discordia.
I pacchetti, pubblicati in tre diversi account, sono dotati di uno script di installazione che viene attivato durante l’installazione di NPM, ha dichiarato il ricercatore della sicurezza socket Kirill Boychenko in un rapporto pubblicato la scorsa settimana. Le biblioteche sono state scaricate collettivamente oltre 3.000 volte.
“Lo script si rivolge a Home windows, MacOS o Techniques Linux e embody controlli di evasione Sandbox di base, rendendo ogni workstation infetta o nodo di integrazione continua una potenziale fonte di preziosa ricognizione”, la società di sicurezza della catena di approvvigionamento software program disse.
I nomi dei tre account, ciascuno dei quali ha pubblicato 20 pacchetti in un periodo di 11 giorni, sono elencati di seguito. Gli account non esistono più su NPM –
- BBBB335656
- cdsfdfafd1232436437 e
- SDSDS656565
Il codice dannoso, per socket, è esplicitamente progettato per l’impronta digitale ogni macchina che installa il pacchetto, a interrompere anche l’esecuzione se rileva che è in esecuzione in un ambiente virtualizzato associato a Amazon, Google e altri.
Le informazioni raccolte, che includono i dettagli dell’host, i server DNS di sistema, le informazioni sulla scheda di interfaccia di rete (NIC) e gli indirizzi IP interni ed esterni, vengono quindi trasmesse a un Webhook Discord.
“Raccogliendo gli indirizzi IP interni ed esterni, i server DNS, i nomi utente e i percorsi del progetto, consente a un attore di minaccia di tracciare la rete e identificare obiettivi di alto valore per campagne future”, ha affermato Boychenko.
La divulgazione segue un altro set di otto pacchetti NPM che si mascherano come librerie di helper per framework JavaScript ampiamente utilizzati tra cui React, Vue.JS, Vite, Node.js e l’editor di pennelli open-source, ma distribuiscono payloads distruttivi una volta installati. Sono stati scaricati più di 6.200 volte e sono ancora disponibili per il obtain dal repository –
- vite-plugin-vo-extend
- caricatore di quine-image-down
- js-hood
- JS-Bomb
- Vue-plugin-bomb
- vite-plugin-bomb
- vite-plugin-bomb-extend e
- vite-plugin-react-extend
“Mascherando come plug -in e utility legittimi contenente segretamente carichi di utili distruttivi progettati per corrompere i dati, eliminare i file critici e i sistemi di arresto anomalo, questi pacchetti sono rimasti inosservati”, il ricercatore della sicurezza socket Kush Pandya disse.
Alcuni dei pacchetti identificati sono stati trovati per eseguire automaticamente una volta che gli sviluppatori li invocano nei loro progetti, consentendo la cancellazione ricorsiva dei file relativi a vue.js, react e vite. Altri sono progettati per corrompere metodi JavaScript fondamentali o manomettere i meccanismi di stoccaggio del browser come LocalStorage, SessionStorage e cookie.
Un altro pacchetto degno di nota è JS-Bomb, che va oltre l’eliminazione dei file del framework VUE.JS avviando anche un arresto del sistema in base all’ora corrente dell’esecuzione.
L’attività è stata rintracciata da un attore di minaccia chiamato Xuxingfengche ha anche pubblicato cinque pacchetti legittimi e non malvagi che funzionano come previsto. Alcuni dei pacchetti canaglia sono stati pubblicati nel 2023. “Questo doppio approccio per il rilascio di pacchetti dannosi e utili crea una facciata di legittimità che rende più probabili pacchetti dannosi di essere fidati e installati”, ha detto Pandya.
I risultati seguono anche la scoperta di una nuova campagna di attacco che combina il tradizionale phishing e-mail con il codice JavaScript che fa parte di un pacchetto npm dannoso travestito da biblioteca open supply benigna.
“Una volta stabilita la comunicazione, il pacchetto ha caricato e consegnato uno script di secondo stadio che ha personalizzato i collegamenti di phishing utilizzando l’indirizzo e-mail della vittima, portandoli a una pagina di accesso a Workplace 365 falsa progettata per rubare le loro credenziali”, il ricercatore di Fortra Israel Cerda disse.
Il punto di partenza dell’attacco è un’e -mail di phishing contenente un file .htm dannoso, che embody il codice JavaScript crittografato ospitato su jsdelivr e associato a un pacchetto NPM ormai ricordato chiamato Citiycar8. Una volta installato, il payload JavaScript incorporato all’interno del pacchetto viene utilizzato per avviare una catena di reindirizzamento URL che alla superb porta l’utente a una pagina di destinazione fasulla progettata per catturare le loro credenziali.
“Questo attacco di phishing dimostra un alto livello di raffinatezza, con attori delle minacce che collegano le tecnologie come la crittografia AES, i pacchetti NPM consegnati attraverso un CDN e reindirizzamenti multipli per mascherare le loro intenzioni dannose”, ha detto Cerda.
“L’attacco non solo illustra i modi creativi in cui gli aggressori tentano di eludere il rilevamento, ma evidenzia anche l’importanza della vigilanza nel panorama in continua evoluzione delle minacce di sicurezza informatica.”
L’abuso di repository open supply per la distribuzione dei malware è diventato un approccio collaudato per condurre attacchi della catena di approvvigionamento su vasta scala. Nelle ultime settimane, sono state scoperte anche le estensioni di furto di dati dannose nel mercato di Microsoft Visible Studio Code (CODE) che sono progettati in crema di portafoglio di criptovaluta sifone prendendo di mira gli sviluppatori di solidità su Home windows.
L’attività è stata attribuita da Datadog Safety Analysis a un attore di minaccia che traccia come MUT-9332. I nomi delle estensioni sono i seguenti –
- solaibot
- Tra-Eth, e
- Blankebesxstnion
“Le estensioni si trattengono come legittime, nascondendo un codice dannoso all’interno di caratteristiche autentiche e usano domini di comando e controllo che sembrano rilevanti per la solidità e che in genere non sarebbero contrassegnati come dannosi”, ricercatori di Datadog disse.
“Tutte e tre le estensioni impiegano catene di infezione complesse che coinvolgono più fasi di malware offuscato, incluso uno che utilizza un payload nascosto all’interno di un file di immagine ospitato sull’archivio Web.”
In particolare, le estensioni sono state pubblicizzate come offrire la scansione della sintassi e il rilevamento della vulnerabilità per gli sviluppatori di solidità. Mentre offrono funzionalità autentiche, le estensioni sono anche progettate per fornire payload dannosi che rubano le credenziali del portafoglio di criptovaluta dai sistemi di Home windows vittime. Da allora le tre estensioni sono state rimosse.
L’obiettivo finale dell’estensione del codice VS è quello di far scivolare un’estensione del browser a base di cromo dannoso in grado di saccheggiare i portafogli Ethereum e perde loro all’endpoint di comando e controllo (C2).
È inoltre attrezzato per installare un eseguibile separato che disabilita la scansione di Defender di Home windows, scansiona le listing dei dati delle applicazioni per discordia, browser a base di cromo, portafogli di criptovaluta e applicazioni di elettroni e recupera ed esegue un carico utile aggiuntivo da un server remoto.
MUT-9332 è anche valutato per essere dietro a campagna recentemente divulgata Ciò ha comportato l’uso di 10 estensioni maliziose e codice per installare un criptominer XMRIG trasmettendo come strumenti di codifica o intelligenza artificiale (AI).
“Questa campagna dimostra le lunghe e artistic lunghezze a cui MUT-9332 è disposto advert andare quando si tratta di nascondere le loro intenzioni dannose”, ha detto Datadog. “Questi aggiornamenti del payload suggeriscono che questa campagna probabilmente continuerà e il rilevamento e la rimozione di questo primo lotto di estensioni maliziose del codice VS possono spingere MUT-9332 a modificare le tattiche in quelle successive.”
