Злоумышленники добавляют в npm сотни вредоносных пакетов
- Пакеты пытаются загрузить второй этап угрозы для заражения компьютеров
- Нападавшие приняли меры для сокрытия местонахождения вредоносного ПО
Программисты, особенно те, кто работает с криптовалютами, вновь столкнулись с атакой на цепочку поставок через репозитории с открытым исходным кодом. Исследователи в области кибербезопасности из компании Phylum предупреждают, что злоумышленник загрузил сотни вредоносных пакетов в репозиторий npm. Эти пакеты являются опечаточными версиями таких библиотек, как Puppeteer и Bignum.js. Разработчики, которым нужны эти пакеты, могут случайно загрузить неверную версию из-за схожести названий.
Если использовать такой пакет, он подключится к скрытому серверу, загрузит вредоносное содержимое второго этапа и заразит компьютеры разработчиков. Как пояснили исследователи, «бинарный файл, загружаемый на машину, представляет собой упакованную версию пакета Vercel».
Сокрытие IP-адреса
Кроме того, нападавшие хотели выполнить другой скрипт при установке пакета, однако из-за отсутствия файла в пакете, исследователи не смогли его проанализировать. Они отметили это как «очевидную недоработку автора вредоносного пакета».
Что отличает эту кампанию от других атак на цепочки поставок с использованием опечаток, так это усилия злоумышленников по сокрытию контролируемых ими серверов. Исследователи отметили: «Вредоносные авторы стараются находить все более новые методы скрытия намерений и обфускации удаленных серверов, находящихся под их контролем». Это ещё одно напоминание о том, что атаки на цепочку поставок все еще актуальны.
IP-адрес не виден в исходном коде первого этапа. Вместо этого код сначала обращается к смарт-контракту Ethereum, где хранится IP. Это послужило палкой о двух концах, так как блокчейн является постоянным и неизменным, что позволило исследователям проследить все когда-либо использованные злоумышленниками IP-адреса.
Так как целью являются разработчики, работающие с криптовалютой, вероятней всего, злоумышленники пытаются украсть первоначальные фразы для доступа к кошелькам. Программисты, особенно те, кто работает в области Web3, часто являются мишенью таких атак. Поэтому необходимо внимательно проверять имена всех загружаемых пакетов.
Источник: TechRadar
