Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Злоумышленники пытаются атаковать цепочки поставок ПО под видом доверенных библиотек

22/09/23

lofylife-malicious-packages-in-npm-repository-featured

Исследователи в области кибербезопасности Sonatype обнаружили партию вредоносных пакетов в реестре npm, предназначенных для извлечения конфигураций Kubernetes и SSH-ключей с зараженных машин на удаленный сервер. Об этом пишет Securitylab.

Компания Sonatype сообщила о 14 различных пакетах npm, которые пытаются имитировать библиотеки и компоненты JavaScript, такие как плагины ESLint и SDK-инструменты TypeScript. Однако после установки многие версии пакетов запускают обфусцированный код для сбора и эксфильтрации конфиденциальных файлов с целевой машины.

Помимо конфигурации Kubernetes и SSH-ключей, модули также способны собирать метаданные системы, такие как имя пользователя, IP-адрес и имя хоста, которые передаются на домен app.threatest[.]com.

В целом, имитируя популярные библиотеки, атакующие могут ввести разработчиков в заблуждение и заставить их установить вредоносные пакеты, что угрожает всей цепочке поставок программного обеспечения. Дополнительные угрозы включают кражу криптовалютных ключей, использование ресурсов компьютера для майнинга криптовалюты и расширение атак на другие операционные системы, такие как macOS. Неясные намерения злоумышленников добавляют дополнительную неопределенность и риск.

Ранее специалисты Sonatype обнаружили, что в репозитории PyPI открыто рекламируется инфостилер , который способен похищать конфиденциальные данные и отправлять их на Discord-сервер злоумышленника.

В последние месяцы два банка стали мишенью атак на цепочку поставок открытого ПО (open source), что стало первыми подобными инцидентами такого рода. По данным Checkmarx, в ходе отдельных кампаний в феврале и апреле злоумышленники загрузили пакеты с вредоносными скриптами на платформу ПО с открытым исходным кодом npm. Кампания была направлена на кражу учетных данных для входа в банковские системы.

Ранее исследователи Checkmarx раскрыли кампанию, в которой киберпреступники нашли способ внедрить свой вредоносный код в пакеты npm, не меняя исходный код. Хакеры использовали S3-бакеты AWS, которые были заброшены их владельцами, и заменили в них бинарные файлы, необходимые для работы пакетов.

Темы:ПреступленияSonatypenpmKubernetes
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...