Οι ερευνητές της εταιρείας ασφάλειας Check Point ανακάλυψαν πρόσφατα 16 κακόβουλα NPM πακέτα, τα οποία ισχυρίζονταν πως ήταν διαδικτυακά speed testers, αυτό που κάνανε στην πραγματικότητα, ήταν το γνωστό, σχεδόν σε όλους – crypto mining.
Το NPM, είναι ένα online repository που περιέχει πάνω από 2,2 εκατομμύρια open source JavaScript πακέτα.
Δείτε επίσης: MortalKombat ransomware: Στοχεύει συστήματα στις ΗΠΑ
Πίσω από αυτά τα πακέτα, τα οποία έγιναν upload στο NPM στις 17 Ιανουαρίου 2023, βρίσκεται ένας χρήστης με το όνομα “trendava”
Ο σκοπός τον πακέτων αυτών είναι να καταλάβουν διαθέσιμους πόρους απο τους μολυσμένους υπολογιστές και να ξεκινήσουν το crypto mining προς όφελος τους.
Η πλατφόρμα της NPM αφαίρεσε την επόμενη μέρα κιόλας αυτά τα πακέτα αφότου ειδοποιήθηκε από την Check Point, αλλά η παρουσία αυτών των επιθέσεων στο supply chain τονίζει τη σημασία που έχει για τους προγραμματιστές λογισμικού να ελέγχουν διεξοδικά τον κώδικα σε κάθε πακέτο που ενδεχομένως να χρησιμοποιήσουν στα προγράμματά τους.
Τα περισσότερα πακέτα είχαν όλα ονόματα που έμοιαζαν με speed testers
Oι αναλυτές της Check Point όμως, διαπίστωσαν ότι κάθε πακέτο χρησιμοποιεί διαφορετική κωδικοποίηση και μεθόδους για να ολοκληρώσει τα “σχέδιά” του.
Για παράδειγμα, το πακέτο “speedtestspa” κατεβάζει ένα βοηθητικό αρχείο από το GitLab για να συνδεθεί σε ενα mining pool, ενώ το “speedtestkas” περιλαμβάνει το κακόβουλο βοηθητικό αρχείο.
Το πακέτο “speedtestbom” προσπαθεί να κρύψει τη διεύθυνση του mining pool.
Αντίθετα, το πακέτο “speedtesto” περιλαμβάνει τον κώδικα ενός γνήσιου speed testing προγράμματος, το οποίο προσφέρει την υποσχόμενη λειτουργία στον ανυποψίαστο χρήστη.
Δείτε επίσης: Νέο pig butchering scam υπόσχεται κέρδη από επενδύσεις σε χρυσό
Οι αναλυτές της Check Point σημείωσαν ότι οι διαφορές στην κωδικοποίηση πιθανότατα να σχετίζονται με τη λεγόμενη μέθοδο “δοκιμής και λάθους”, στην προσπάθεια τους να βρουν το πιο αποτελεσματικό τρόπο για να κρύβουν τις δραστηριότητες τους απο προγράμματα ασφαλείας.
Σε ένα ξεχωριστό περιστατικό, οι ερευνητές της εταιρείας Phylum αποκάλυψαν ότι βρήκαν 451 κακόβουλα typosquatting πακέτα στο “PyPI“, ένα repository Python πακέτων, τα οποία εγκαθιστούσαν ένα password-stealing malware.
Για την αποφυγή τέτοιου είδους επιθέσεων στα supply chain, οι προγραμματιστές πρέπει να καταφεύγουν μόνο σε αξιόπιστες πηγές, αλλά και σε publishers.
Να επικυρώνουν τα ονόματα για να αποφεύγουν την εγκατάσταση κακόβουλων typosquatting πακέτων και να ελέγχουν τον κώδικα των πακέτων που χρησιμοποιούνται στα προγράμματά τους.
Πηγή πληροφοριών: bleepingcomputer.com
