Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

NPM listează 60 de pachete malițioase ce colectează info de recunoaștere

În registrul NPM (Node Package Manager) pentru scripturile JavaScript au fost descoperite 60 de pachete malițioase care colectează informații sensibile de pe mașinile afectate și le trimite către un webhook Discord controlat de autorul campaniei.

Pachetele malițioase au înregistrat peste 3,000 de descărcări și au fost publicate de către trei conturi NPM distincte, conform experților de la Socket, o platformă ce protejează codul de vulnerabilități și dependințe rău-intenționate.

Constatări cheie

Primul pachet din cadrul campaniei a apărut pe 13 mai iar ultimul pe 23 mai, indicând un efort continuu din partea atacatorului.

Scopul scriptului malițios este de recunoaștere a infrastructurii de care este legat calculatorul compromis. Acesta colectează date pentru a identifica mașinile și a conecta rețeaua internă a unei organizații de infrastructura publică.

“Scriptul efectuează recunoaștere cu singurul scop de a identifica fiecare mașină care construiește sau instalează pachetul,” explică experții Socket.

“Prin colectarea atât a identificatorilor de rețea interni, cât și externi, leagă mediile private de dezvoltare de infrastructura lor publică – ideal pentru țintirea ulterioară,” avertizează Socket.

Scriptul adună o gamă largă de informații sensibile, incluzând:

  • Numele gazdelor
  • Adresele IP interne și externe
  • Listele serverelor DNS
  • Căile directoarelor utilizatorilor
  • Pe serverele de integrare continuă, aceasta poate include URL-urile registrelor de pachete interne și căile de construire.

“Prin colectarea adreselor IP interne și externe, serverelor DNS, numelor de utilizatori și căilor proiectelor, permite unui actor amenințător să cartografieze rețeaua și să identifice ținte de valoare mare pentru campaniile viitoare,” spun experții Socket.

Folosind verificări de bază, scriptul determină dacă mediul în care se află este unul de analiză de tip sandbox sau mașină virtuală.

Toate pachetele verificate de Socket conțin același payload de recunoaștere a calculatoarelor și infrastructurii și au fost publicate de trei conturi:

  • bbbb335656 (email de înregistrare npm9960+1@gmail[.]com)
  • sdsds656565 (email de înregistrare npm9960+2@gmail[.]com)
  • cdsfdfafd1232436437 (email de înregistrare npm9960+3@gmail[.]com)

Experții Socket evidențiază lipsa măsurilor de protecție eficace din registrul NPM pentru hook-urile post-instalare, ceea ce facilitează acest tip de atac. Această lipsă de protecție face ușor pentru actorul amenințării să continue publicarea.

“Pentru că registrul nu oferă măsuri de protecție pentru hook-urile post-instalare, așteptați-vă la noi conturi de unică folosință, pachete proaspete, puncte alternative de exfiltrare și poate payload-uri mai mari odată ce o listă de ținte este completă,” avertizează experții.

Măsurile de apărare recomandate împotriva acestui tip de atac includ scanarea dependințelor care pot identifica modele suspecte, cum ar fi hook-urile post-instalare, URL-urile codificate și arhivele TAR neobișnuit de mici.

De asemenea, se recomandă întărirea pipeline-ul de dezvoltare cu verificări automate pentru a detecta timpuriu pachetele malițioase.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna