ΑρχικήinetΝpm περιείχαν malware το οποίο ανέβαζε τα στοιχεία χρηστών στο GitHub

Νpm περιείχαν malware το οποίο ανέβαζε τα στοιχεία χρηστών στο GitHub

Τέσσερα JavaScript npm περιείχαν malware που συγκέντρωνε τα στοιχεία των χρηστών και τα “ανέβαζε” σε μια δημόσια σελίδα στο GitHub.

Τα τέσσερα packages όπου εντοπίστηκε αυτός ο κακόβουλος κώδικας ήταν τα:

  • electorn: 255 λήψεις
  • lodashs: 78 λήψεις
  • loadyaml: 48 λήψεις
  • loadyml: 37 λήψεις

Και τα τέσσερα packages αναπτύχθηκαν από τον ίδιο χρήστη (simplelive12) και ανέβηκαν στο npm portal τον Αύγουστο. Δύο packages (lodashs, loadyml) αφαιρέθηκαν από τον συγγραφέα λίγο μετά τη δημοσίευση, αλλά είχαν ήδη μολύνει ορισμένους χρήστες.

Τα υπόλοιπα packages, electorn και loadyaml, καταργήθηκαν την περασμένη εβδομάδα, την 1η Οκτωβρίου, από την ομάδα ασφαλείας της npm μετά από μια αναφορά της Sonatype, μιας εταιρείας που παρακολουθεί τα «public package repositories» ως μέρος των DevSecOps (είναι ένα σύνολο πρακτικών που συνδυάζει ανάπτυξη λογισμικού και λειτουργίες IT).

GitHub malware

Σύμφωνα με τον ερευνητή ασφαλείας Sonatype, Ax Sharma, τα τέσσερα κακόβουλα packages χρησιμοποίησαν μια τεχνική γνωστή ως typosquatting για να εγκατασταθούν.

Και τα τέσσερα είχαν παρόμοιο όνομα με τα πιο δημοφιλή πακέτα και βασίστηκαν στους χρήστες που κάνουν λάθη όταν πληκτρολογούν το όνομα ενός δημοφιλούς package.

Όταν ένας προγραμματιστής κατά λάθος εγκαθιστούσε ένα από τα τέσσερα κακόβουλα packages, ο κακόβουλος κώδικας συνέλεγε τη διεύθυνση IP του προγραμματιστή, τη χώρα, την πόλη, το όνομα χρήστη του υπολογιστή, το “home directory path’ και τις πληροφορίες του μοντέλου CPU και δημοσιεύε αυτές τις πληροφορίες ως νέο σχόλιο μέσα στην ενότητα” Issues” ενός GitHub repository.

Ο Sharma είπε ότι τα δεδομένα δεν θα παραμείνουν στο GitHub για μεγάλο χρονικό διάστημα και θα γίνεται εκκαθάριση κάθε 24 ώρες.

Παρόλο που μπορεί να μην ξέρουμε ποιος ήταν ο τελικός στόχος αυτής της καμπάνιας, είναι πολύ πιθανό να βλέπουμε μια αναγνωριστική επιχείρηση.

Πληροφορίες όπως διευθύνσεις IP, ονόματα χρηστών και «home directory paths» μπορούν να αποκαλύψουν εάν ένας χρήστης εργάζεται από το σπίτι ή από κάποιο εταιρικό περιβάλλον. Δεδομένα όπως το «home directory path» και το μοντέλο της CPU μπορούν επίσης να βοηθήσουν τους εισβολείς να αναπτύξουν malware για μια συγκεκριμένη αρχιτεκτονική.

Το μόνο που θα έπρεπε να κάνει ο εισβολέας ήταν να προωθήσει μια επόμενη ενημέρωση στα packages electorn και loadyaml με επιπλέον κακόβουλο κώδικα.

Συνιστάται στους προγραμματιστές να επανεξετάσουν τις εξαρτήσεις του project και να δουν εάν κατά λάθος χρησιμοποίησαν ένα από τα τέσσερα packages.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS