Phát hiện các package npm độc hại đang đánh cắp dữ liệu nhạy cảm của các nhà phát triển

Các nhà nghiên cứu bảo mật đã phát hiện ra một loạt các gói (package) npm độc hại mới được thiết kế để lấy cắp thông tin nhạy cảm của nhà phát triển.

Mục tiêu chính xác của chiến dịch vẫn chưa được xác định, nhưng nó bị nghi ngờ là nhằm vào lĩnh vực tiền điện tử dựa trên các liên kết đến các mô-đun như "rocketrefer" và "binarium".

Tất cả các gói đều được phát hành bởi người dùng npm có nickname ‘malikrukd4732’. Một tính năng phổ biến trên tất cả các mô-đun là khả năng thực thi mã JavaScript ("index.js") để trích xuất thông tin có giá trị và gửi chúng đến một máy chủ từ xa.

Bước đầu của chiến dịch sẽ thu thập tên người dùng hệ điều hành hiện tại và thư mục làm việc hiện tại, sau đó gửi request GET với dữ liệu đã thu thập được tới 185.62.57[.]60:8000/http. Sau đó, tập lệnh tiếp tục tìm kiếm các tệp và thư mục phù hợp với một nhóm phần mở rộng cụ thể, bao gồm .env, .svn, .gitlab, .hg, .idea, .yarn, .docker, .vagrant, .github, .asp, .js , .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml và .cfg.

Dữ liệu được thu thập, cũng có thể chứa thông tin đăng nhập và tài sản trí tuệ có giá trị, cuối cùng được truyền đến máy chủ dưới dạng tệp nén ZIP.

Công ty chuỗi cung ứng phần mềm Phylum, công ty đầu tiên xác định các gói độc hại, cho biết: "Mặc dù các thư mục này có thể chứa thông tin nhạy cảm, nhưng nhiều khả năng chúng chứa nhiều tệp ứng dụng không phải dành riêng cho hệ thống của nạn nhân, do đó ít có giá trị hơn đối với kẻ tấn công, những kẻ có động cơ dường như tập trung vào việc trích xuất mã nguồn hoặc các tệp cấu hình môi trường cụ thể".

Sự phát triển này là ví dụ mới nhất về các kho lưu trữ mã nguồn mở đang bị lạm dụng để phát tán mã độc hại trong một chiến dịch PyPI, do ReversingLabs và Sonatype xác định, sử dụng các gói python đáng ngờ như VMConnect, quantiumbase và ethter để liên lạc với máy chủ điều khiển tấn công (C2).

Nhà nghiên cứu bảo mật Karlo Zanki giải thích rằng: “Do quá trình nhận lệnh được thực hiện trong một vòng lặp vô tận nên có thể người điều hành máy chủ C2 chỉ tải lên các lệnh sau khi máy bị nhiễm được xác định là có giá trị với kẻ tấn công”.

"Ngoài ra, máy chủ C2 có thể đã thực hiện một số loại lọc request, như lọc dựa trên địa chỉ IP của máy bị nhiễm để tránh lây nhiễm cho mục tiêu từ các quốc gia cụ thể".

Hơn nữa, các tác nhân đe dọa cũng đã tạo các kho lưu trữ tương ứng trên GitHub, với các mô tả có vẻ hợp pháp để làm cho các gói Python có vẻ đáng tin cậy, điều này cho thấy đây là cuộc tấn công có chủ đích nhằm đánh lừa các nhà phát triển.

Vào đầu tháng 7 năm 2023, ReversingLabs cũng đã tiết lộ 13 mô-đun npm giả mạo đã được tải xuống tổng cộng khoảng 1.000 lượt như một phần của chiến dịch có tên Operation Brainleeches.

Điều làm cho hoạt động trở nên đáng chú ý là việc sử dụng một số package để hỗ trợ thu thập thông tin xác thực thông qua các biểu mẫu (form) đăng nhập Microsoft 365 giả mạo được khởi chạy từ tệp đính kèm email - tệp JavaScript dùng để tải xuống payload (tệp, phần mềm độc hại) bổ sung cho giai đoạn tiếp theo từ jsDelivr, một mạng CDN cho các package được lưu trữ trên npm.

Nói cách khác, các mô-đun npm độc hại hoạt động như một cơ sở hạ tầng giúp lưu trữ các tệp được sử dụng trong các cuộc tấn công lừa đảo qua email cũng như thực hiện các cuộc tấn công chuỗi cung ứng nhằm vào các nhà phát triển.

Loại thứ hai được thực hiện bằng cách chèn các tập lệnh thu thập thông tin xác thực vào các ứng dụng đang sử dụng các gói npm độc hại. Các package đã được tải lên npm từ ngày 11 tháng 5 đến ngày 13 tháng 6 năm 2023.

Check Point, công ty cũng đã báo cáo cùng một chiến dịch, cho biết: "Một trong những lợi ích chính của jsDelivr là các liên kết tệp trực tiếp: Thay vì sử dụng npm để cài đặt gói và tham chiếu cục bộ, bạn có thể liên kết trực tiếp tới tệp được lưu trữ trên CDN của jsDelivr". "Ngay cả các dịch vụ hợp pháp như jsDelivr CDN cũng có thể bị lạm dụng cho các mục đích xấu".

Nguồn: thehackernews.com.