Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Готовятся атаки на цепочки поставок немецких компаний

13/05/22

npmwareИсследователи в области кибербезопасности обнаружили в реестре npm вредоносные пакеты, специально нацеленные для атак на цепочки поставок ряда известных немецких компаний.

"По сравнению с большинством вредоносных программ, найденных в репозитории npm, полезная нагрузка этих пакетов очень опасна: сложная и запутанная часть вредоносного ПО, которая работает как бэкдор и позволяет злоумышленнику получить полный контроль над зараженным устройством", – говорится в новом отчете исследователей из JFrog.

DevOps-специалисты из JFrog заявили, что доказательства указывают на работу опытных хакеров, либо на очень агрессивный тест на проникновение. Все npm-пакеты злоумышленников были отслежены до имен пользователей реестра npm – bertelsmannnpm, boschnodemodules, stihlnodemodules и dbschenkernpm. По словам экспертов, это может быть попытка киберпреступников выдать себя за фирмы Bertelsmann, Bosch, Stihl и DB Schenker.

Специфичные имена некоторых пакетов позволяют предположить, что злоумышленникам удалось определить названия внутренних библиотек во внутренних репозиториях компаний с целью организовать атаку запутывания зависимостей.

Такие выводы были сделаны на основе отчета компании Snyk, опубликованном в конце прошлого месяца. В нем подробно описывался один из пакетов-нарушителей – "gxm-reference-web-auth-server". Отмечалось, что вредоносная программа нацелена на неизвестную компанию, которая имеет такой же пакет в частном реестре.

"Злоумышленники, вероятно, располагали информацией о существовании такого пакета в частном реестре компании", – заявили специалисты из Snyk.

JFrog назвала пакет собственной разработкой хакеров и отметила, что вредоносная программа состоит из двух компонентов: дроппера, который отправляет информацию о зараженном устройстве на удаленный телеметрический сервер перед расшифровкой и выполнением JavaScript-бэкдора. Бэкдор предназначен для получения и выполнения команд, отправленных с жестко заданного C&C сервера, запуска произвольного JavaScript-кода и загрузки файлов обратно на сервер.

"Атака целенаправленная и использует инсайдерскую информацию. Но с другой стороны, имена пользователей, созданные в реестре NPM, не пытались скрыть целевую компанию.”, – говорят эксперты.

Темы:ГерманияПреступленияnpmJFrog

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...