Северокорейские хакеры продвигают вредоносные npm-модули среди разработчиков
16/08/23
Как недавно стало известно, реестр пакетов NPM вновь стал мишенью злоумышленников. Их цель — заманить разработчиков в хитроумную ловушку и навязать им установку вредоносных модулей.
Компания Phylum, занимающаяся безопасностью цепочек поставок ПО, сообщила в недавнем отчёте, что активность атакующих демонстрирует схожее поведение с предыдущей волной атак, выявленной в июне и связанной тогда с хакерами из Северной Кореи.
В промежуток с 9 по 12 августа этого года в репозиторий NPM были загружены 9 пакетов со следующими названиями:
- ws-paso-jssdk;
- pingan-vue-floating;
- srm-front-util;
- cloud-room-video;
- progress-player;
- ynf-core-loader;
- ynf-core-renderer;
- ynf-dx-scripts;
- ynf-dx-webpack-plugins.
«Из-за сложного характера атаки и небольшого количества затронутых пакетов мы подозреваем, что это ещё одна узконаправленная атака. Вероятно, с использованием аспекта социальной инженерии, чтобы заставить конкретных людей установить эти пакеты», — заявили в Phylum.
Цепочка атаки начинается с файлов «package.json» и «index.js», которые запускают скрытый процесс, передающий данные устройства на удалённый сервер хакеров. Затем вредонос каждые 45 секунд сканирует входящие инструкции, и сразу же выполняет их, как только те поступают.
По мнению исследователей, злоумышленники мониторят GUID заражённых машин и выборочно отправляют дополнительные полезные нагрузки на особо интересные им системы.
Специалисты также полагают, что в рамках атаки применяются методы социальной инженерии. Злоумышленники, вероятно, ведут адресную рассылку вредоносных пакетов конкретным разработчикам, пытаясь убедить в необходимости их установки. А для повышения доверия используются спуфинг доменных имён и другие уловки. Это позволяет обмануть бдительность жертвы и заставить её запустить вредонос.
Эксперты напоминают, что уязвимости в пакетах могут быть использованы не только для атак на отдельных разработчиков, но и для проникновения в корпоративные сети компаний. Такие атаки потенциально могут нанести серьёзный ущерб бизнесу, привести к утечкам данных, вымогательству и другим негативным последствиям.
Тщательная проверка сторонних пакетов, резервирование имён, разделение на внутренние и внешние модули — эти меры помогут снизить риски и предотвратить заражение вредоносным ПО. Кибербезопасность требует постоянной бдительности и ответственного подхода со стороны каждого участника процесса разработки.