Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν δύο κακόβουλα πακέτα σε αρχεία npm, τα οποία περιείχαν backdoor code για την εκτέλεση κακόβουλων εντολών που αποστέλλονταν από έναν απομακρυσμένο server.
Δείτε περισσότερα: Ο server ενός προμηθευτή ERP παραβιάστηκε για διανομή του Xctdoor backdoor
Τα δύο πακέτα έχουν ληφθεί 190 και 48 φορές αντίστοιχα και μέχρι στιγμής, έχουν αφαιρεθεί από την ομάδα ασφαλείας του npm.
«Η εταιρεία ασφάλειας εφοδιαστικής αλυσίδας λογισμικού Phylum ανέφερε σε μια ανάλυση ότι τα αρχεία περιείχαν εξελιγμένες λειτουργίες εντολών και ελέγχου, κρυμμένες σε εικόνες, οι οποίες θα εκτελούνταν κατά την εγκατάσταση του πακέτου».
Τα πακέτα αυτά είναι σχεδιασμένα να μιμούνται μια νόμιμη βιβλιοθήκη npm με το όνομα aws-s3-object-multipart-copy, αλλά περιλαμβάνουν μια τροποποιημένη έκδοση του αρχείου “index.js” που εκτελεί ένα αρχείο JavaScript (“loadformat.js”).
Το αρχείο JavaScript από την πλευρά του έχει σχεδιαστεί για να επεξεργάζεται τρεις εικόνες — οι οποίες περιλαμβάνουν τα εταιρικά λογότυπα των Intel, Microsoft και AMD. Η εικόνα που περιλαμβάνει το λογότυπο της Microsoft χρησιμοποιείται για την εξαγωγή και εκτέλεση του κακόβουλου περιεχομένου.
Ο κώδικας καταγράφει τον νέο πελάτη σε έναν command-and-control (C2) server αποστέλλοντας το όνομα του κεντρικού υπολογιστή και τις λεπτομέρειες του λειτουργικού συστήματος. Στη συνέχεια, επιχειρεί να εκτελεί εντολές του χάκερ, επαναλαμβάνοντας την προσπάθεια κάθε πέντε δευτερόλεπτα.
Στο τελικό στάδιο, τα αποτελέσματα της εκτέλεσης των εντολών επιστρέφονται στον χάκερ μέσω ενός καθορισμένου endpoint (τελικού σημείου).
Τα τελευταία χρόνια, έχουμε παρατηρήσει μια σημαντική αύξηση στην πολυπλοκότητα και τον αριθμό των κακόβουλων πακέτων που δημοσιεύονται στα open-source οικοσυστήματα, όπως δήλωσε η Phylum.
Διαβάστε επίσης: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
“Επειδή λοιπόν οι επιθέσεις αυτές σημειώνουν μεγάλη επιτυχία, είναι υψίστης σημασίας για τους προγραμματιστές και τις επιχειρήσεις να είναι πλήρως ενήμεροι για αυτό το γεγονός και να δείχνουν εξαιρετική προσοχή στις open-source βιβλιοθήκες που χρησιμοποιούν.”
Πηγή: thehackernews
