Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Северокорейские хакеры продвигают вредоносные npm-модули среди разработчиков

16/08/23

NPM

Как недавно стало известно, реестр пакетов NPM вновь стал мишенью злоумышленников. Их цель — заманить разработчиков в хитроумную ловушку и навязать им установку вредоносных модулей.

Компания Phylum, занимающаяся безопасностью цепочек поставок ПО, сообщила в недавнем отчёте, что активность атакующих демонстрирует схожее поведение с предыдущей волной атак, выявленной в июне и связанной тогда с хакерами из Северной Кореи.

В промежуток с 9 по 12 августа этого года в репозиторий NPM были загружены 9 пакетов со следующими названиями:

  1. ws-paso-jssdk;
  2. pingan-vue-floating;
  3. srm-front-util;
  4. cloud-room-video;
  5. progress-player;
  6. ynf-core-loader;
  7. ynf-core-renderer;
  8. ynf-dx-scripts;
  9. ynf-dx-webpack-plugins.

«Из-за сложного характера атаки и небольшого количества затронутых пакетов мы подозреваем, что это ещё одна узконаправленная атака. Вероятно, с использованием аспекта социальной инженерии, чтобы заставить конкретных людей установить эти пакеты», — заявили в Phylum.

Цепочка атаки начинается с файлов «package.json» и «index.js», которые запускают скрытый процесс, передающий данные устройства на удалённый сервер хакеров. Затем вредонос каждые 45 секунд сканирует входящие инструкции, и сразу же выполняет их, как только те поступают.

По мнению исследователей, злоумышленники мониторят GUID заражённых машин и выборочно отправляют дополнительные полезные нагрузки на особо интересные им системы.

Специалисты также полагают, что в рамках атаки применяются методы социальной инженерии. Злоумышленники, вероятно, ведут адресную рассылку вредоносных пакетов конкретным разработчикам, пытаясь убедить в необходимости их установки. А для повышения доверия используются спуфинг доменных имён и другие уловки. Это позволяет обмануть бдительность жертвы и заставить её запустить вредонос.

Эксперты напоминают, что уязвимости в пакетах могут быть использованы не только для атак на отдельных разработчиков, но и для проникновения в корпоративные сети компаний. Такие атаки потенциально могут нанести серьёзный ущерб бизнесу, привести к утечкам данных, вымогательству и другим негативным последствиям.

Тщательная проверка сторонних пакетов, резервирование имён, разделение на внутренние и внешние модули — эти меры помогут снизить риски и предотвратить заражение вредоносным ПО. Кибербезопасность требует постоянной бдительности и ответственного подхода со стороны каждого участника процесса разработки.

Темы:ПреступленияКНДРnpmPhylum
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...