Компания Phylum, специализирующаяся на кибербезопасности, обнаружила в реестре npm серию вредоносных пакетов, замаскированных под легитимное программное обеспечение.
Пакеты, обнаруженные 13 июля 2024 года, содержали скрытые командные и управляющие функции, встроенные в файлы изображений, которые выполнялись в процессе установки.
Исследователи Phylum обнаружили два пакета в рамках этой кампании, один из которых под названием «img-aws-s3-object-multipart-copy» имитировал легитимную библиотеку GitHub. Вредоносная версия включала модификации, которые при установке выполняли новый скрипт под названием «loadformat.js».
Файл loadformat.js, на первый взгляд безобидный, содержал сложный код, предназначенный для извлечения и выполнения скрытых полезных нагрузок из файлов изображений, поставляемых вместе с пакетом. Анализ, проведенный компанией Phylum, показал, что одно из этих изображений, замаскированное под логотип Microsoft, содержало вредоносный код, способный установить соединение с командно-контрольным сервером.
«Скрытие полезной нагрузки в изображениях - не новая концепция», - говорится в отчете Phylum. «Однако когда злоумышленники пытаются спрятать полезную нагрузку так глубоко, можно предположить, что они искушены и действуют с явным злым умыслом».
Извлеченная полезная нагрузка включала в себя функциональность для регистрации зараженных машин на сервере злоумышленника, периодического получения и выполнения команд и передачи результатов обратно злоумышленнику. Командно-контрольный сервер был идентифицирован как работающий с IP-адреса 85.208.108.29.
Особое беспокойство вызывает то, как долго эти вредоносные пакеты оставались доступными в реестре npm.
«Вредоносные пакеты оставались доступными на npm в течение почти двух дней», - отметили в Phylum. «Это вызывает беспокойство, поскольку подразумевает, что большинство систем не в состоянии обнаружить эти пакеты и оперативно сообщить о них, оставляя разработчиков уязвимыми для атак в течение длительных периодов времени».
Этот инцидент подчеркивает растущую изощренность атак на цепочки поставок, направленных на экосистемы с открытым исходным кодом. Phylum подчеркивает, что разработчикам и организациям, занимающимся вопросами безопасности, необходимо проявлять крайнюю осторожность при включении библиотек с открытым исходным кодом в свои проекты.
Разработчиков призывают проявлять повышенную бдительность и улучшать использование средств обнаружения для борьбы с этими все более изощренными атаками на цепочки поставок программного обеспечения.
32Угрожающие субъекты быстро используют доступные эксплойты proof-of-concept (PoC) в реальных атаках, иногда уже через 22 минуты после появления эксплойтов в открытом доступе.
60Валютное управление Сингапура (MAS) объявило о новом требовании ко всем крупным розничным банкам страны - в течение ближайших трех месяцев постепенно отказаться от использования одноразовых паролей (OTP).
49Это произошло после того, как Microsoft заключила соглашение с торговой организацией CISPE, чтобы урегулировать антимонопольную жалобу.
32Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии