Δύο κακόβουλα πακέτα, που ανακαλύφθηκαν στο αποθετήριο πακέτων npm, βρέθηκε ότι κρύβουν ένα κακόβουλο λογισμικό κλοπής πληροφοριών ανοικτού κώδικα με την ονομασία TurkoRat.
Δείτε επίσης: Χάκερ στοχεύουν ευάλωτο Elementor plugin του WordPress μετά την κυκλοφορία ενός Proof-of-Concept
Τα πακέτα – με το όνομα nodejs-encrypt-agent και nodejs-cookie-proxy-agent – λήφθηκαν συνολικά περίπου 1.200 φορές και ήταν διαθέσιμα για περισσότερους από δύο μήνες προτού εντοπιστούν και καταργηθούν.
Δείτε επίσης: Apple: Επιδιορθώνει τρία νέα zero-days που χακάρουν iPhone και Mac
Το ReversingLabs, το οποίο ανέλυσε τις λεπτομέρειες της καμπάνιας, περιέγραψε τον TurkoRat ως κλέφτη πληροφοριών ικανό να συλλέγει ευαίσθητες πληροφορίες, όπως login credentials, cookie ιστότοπου και δεδομένα από πορτοφόλια κρυπτονομισμάτων.
Ενώ το nodejs-encrypt-agent εφοδιάστηκε με το κακόβουλο λογισμικό μέσα, το nodejs-cookie-proxy-agent βρέθηκε να συγκαλύπτει το trojan ως dependency με το όνομα axios-proxy.
Το nodejs-encrypt-agent σχεδιάστηκε επίσης για να μεταμφιεστεί ως ένα άλλο νόμιμο module npm γνωστό ως agent-base, το οποίο έχει ληφθεί πάνω από 25 εκατομμύρια φορές μέχρι σήμερα.
Η λίστα των rogue packages και οι σχετικές εκδόσεις τους παρατίθενται παρακάτω –
- nodejs-encrypt-agent (εκδόσεις 6.0.2, 6.0.3, 6.0.4, και 6.0.5)
- nodejs-cookie-proxy-agent (εκδόσεις 1.1.0, 1.2.0, 1.2.1, 1.2.2, 1.2.3, και 1.2.4), και
- axios-proxy (εκδόσεις 1.7.3, 1.7.4, 1.7.7, 1.7.9, 1.8.9, και 1.9.9)
Τα ευρήματα υπογραμμίζουν για άλλη μια φορά τον συνεχιζόμενο κίνδυνο που εγκυμονούν οι απειλητικοί φορείς που ενορχηστρώνουν επιθέσεις στην αλυσίδα εφοδιασμού μέσω πακέτων ανοικτού κώδικα και παρασύρουν τους προγραμματιστές να κατεβάσουν δυνητικά μη αξιόπιστο κώδικα.
Η αυξανόμενη χρήση κακόβουλων πακέτων npm εντάσσεται σε ένα ευρύτερο μοτίβο αυξανόμενου ενδιαφέροντος των επιτιθέμενων για τις αλυσίδες εφοδιασμού λογισμικού ανοικτού κώδικα.
Ακόμα πιο ανησυχητικό είναι το γεγονός ότι ερευνητές της Checkmarx δημοσίευσαν νέα έρευνα αυτόν τον μήνα, η οποία έδειξε πώς οι απειλητικοί φορείς μπορούν να υποδυθούν αυθεντικά πακέτα NPM “χρησιμοποιώντας πεζά γράμματα για να μιμηθούν τα κεφαλαία γράμματα στα αρχικά ονόματα των πακέτων” (π.χ. MemoryStorageDriver έναντι memorystoragedriver).
Η εταιρεία ασφάλειας της εφοδιαστικής αλυσίδας διαπίστωσε ότι 1.900 από τα 3.815 πακέτα με κεφαλαία γράμματα στους τίτλους τους θα μπορούσαν να κινδυνεύσουν από επιθέσεις copycat, αν δεν υπήρχε μια διόρθωση που προωθήθηκε από τους συντηρητές του npm για την αντιμετώπιση του προβλήματος.
Η αποκάλυψη ακολουθεί επίσης μια άλλη συμβουλή της Check Point, η οποία εντόπισε τρεις κακόβουλες επεκτάσεις που φιλοξενούνται στο VS Code Extensions Marketplace. Αυτές έχουν εκκαθαριστεί από τις 14 Μαΐου 2023.
Τα add-ons, που ονομάστηκαν prettiest java, Darcula Dark και python-vscode, λήφθηκαν αθροιστικά πάνω από 46.000 φορές και ενσωμάτωσαν χαρακτηριστικά που επέτρεπαν στους παράγοντες της απειλής να κλέψουν credentials, πληροφορίες συστήματος και να δημιουργήσουν ένα remote shell στον υπολογιστή του θύματος.
Δείτε επίσης: Ευπάθεια στο KeePass εξάγει τον κωδικό πρόσβασης
Δεν είναι μόνο η αγορά npm και VS Code, γιατί ένα παρόμοιο σύνολο απατεώνων βιβλιοθηκών έχει ανακαλυφθεί επίσης από το αποθετήριο λογισμικού Python Package Index (PyPI).
Ορισμένα από αυτά τα πακέτα είχαν σχεδιαστεί για να διανέμουν ένα κακόβουλο λογισμικό που αφαιρεί κρυπτονομίσματα με την ονομασία KEKW, ενώ άλλες εκδόσεις του δημοφιλούς πλαισίου Flask που έκαναν typosquatting περιλάμβαναν λειτουργίες backdoor για τη λήψη εντολών από έναν απομακρυσμένο server.
Ένα άλλο πακέτο Python που ανακαλύφθηκε από την ισραηλινή εταιρεία Phylum αυτή την εβδομάδα βρέθηκε να περιέχει ένα κακόβουλο dependency που φιλοξενούσε ένα κρυπτογραφημένο ωφέλιμο φορτίο, το οποίο είχε σχεδιαστεί για να αρπάξει τα Discord tokens και να κλέψει το περιεχόμενο του πρόχειρου ηλεκτρονικού υπολογιστή, προκειμένου να υποκλέψει συναλλαγές κρυπτονομισμάτων.
Το πακέτο, που αναφέρεται ως chatgpt-api από τον προγραμματιστή του Patrick Pogoda και είναι προσβάσιμο μέσω του GitHub, παρείχε τη λειτουργικότητα που διαφήμιζε (δηλαδή αλληλεπίδραση με το εργαλείο ChatGPT του OpenAI) σε μια προσπάθεια να ολοκληρωθεί το τέχνασμα. Το repository είναι ακόμα διαθέσιμο κατά τη σύνταξη.
Πηγή πληροφοριών: thehackernews.com
