I ricercatori di Cybersecurity hanno scoperto tre pacchetti dannosi nel registro NPM che si mascherano come popolare biblioteca di bot di telegrammi, ma hanno portato a backdoor SSH e funzionalità di esfiltrazione di dati.
I pacchetti in questione sono elencati di seguito –
Secondo la presa della società di sicurezza della catena di fornitura, i pacchetti sono progettati per imitare nodo-telegram-bot-apiuna popolare API Bot Telegram Node.js con oltre 100.000 obtain settimanali. Le tre librerie sono ancora disponibili per il obtain.
“Sebbene quel numero possa sembrare modesto, ci vuole solo un singolo ambiente compromesso per aprire la strada a infiltrazioni su larga scala o accesso ai dati non autorizzato”, il ricercatore della sicurezza Kush Pandya disse.
“Gli incidenti di sicurezza della catena di approvvigionamento mostrano ripetutamente che anche una manciata di installazioni può avere ripercussioni catastrofiche, specialmente quando gli aggressori ottengono l’accesso diretto ai sistemi degli sviluppatori o ai server di produzione.”
I pacchetti canaglia non replicano non solo la descrizione della biblioteca legittima, ma sfruttano anche una tecnica chiamata Starjacking Nel tentativo di elevare l’autenticità e ingannare gli sviluppatori ignari nel scaricarli.
Starjacking si riferisce a un approccio in cui un pacchetto open supply viene reso più popolare di quanto non sia collegando il repository GitHub associato alla biblioteca legittima. Ciò in genere sfrutta la convalida inesistente della relazione tra il pacchetto e il repository GitHub.
L’analisi di Socket ha rilevato che i pacchetti sono progettati per funzionare esplicitamente sui sistemi Linux, aggiungendo due chiavi SSH al file “~/.ssh/autorized_keys”, concedendo così agli aggressori l’accesso remoto persistente all’host.
Lo script è progettato per raccogliere il nome utente di sistema e l’indirizzo IP esterno contattando “IPinfo (.) IO/IP.” Inoltre, si aggrappa a un server esterno (“Weblog Solana.validator (.)) Per confermare l’infezione.
Ciò che rende i pacchetti subdoli è che la rimozione di loro non elimina completamente la minaccia, poiché le chiavi SSH inserite concedono un accesso remoto non letterato agli attori delle minacce per la successiva esecuzione del codice ed esfiltrazione di dati.
La divulgazione arriva come una presa in dettaglio un altro pacchetto dannoso chiamato @naderabdi/commerciante-advcash È progettato per avviare una shell inversa su un server remoto mentre si maschera come un’integrazione Volet (precedentemente AdvCash).
“Il pacchetto @naderabdi/merchant-advcash contiene una logica codificata che apre una shell inversa a un server remoto dopo l’invocazione di un gestore di successo del pagamento”, la società disse. “È mascherato da utilità per i commercianti di ricevere, convalidare e gestire i pagamenti di criptovaluta o fiat.”
“A differenza di molti pacchetti dannosi che eseguono il codice durante l’installazione o l’importazione, questo carico utile viene ritardato fino al runtime, in particolare, dopo una transazione riuscita. Questo approccio può aiutare a sfuggire al rilevamento, poiché il codice dannoso funziona solo in condizioni di runtime specifiche.”
