Το Nascent malware επιτίθεται σε προγραμματιστές npm, PyPI και RubyGems!
Η Phylum αναλύει τον πηγαίο κώδικα και τα metadata για όλα τα πακέτα που προωθούνται στο μητρώο. Φέτος, σε εκατομμύρια πακέτα στοχεύουν να εξετάσουν σχεδόν ένα δισεκατομμύριο αρχεία, καθώς αυτό θα τους επιτρέψει να αποκτήσουν μοναδική κατανόηση της συμπεριφοράς των πακέτων σε διάφορα οικοσυστήματα.
Για αυτό το λόγο, έχει παρακολουθήσει ενεργά διάφορες πρόσφατες εκστρατείες κακόβουλου λογισμικού, από ψεύτικες ενημερώσεις πακέτων npm μέχρι GCC binary impostors και περίπλοκες εγκαταστάσεις εξαγωγής δεδομένων.
Εκτός από αυτό, οι αναλυτές κυβερνοασφάλειας της Phylum ανέφεραν πρόσφατα το νέο malware Nascent που επιτίθεται σε προγραμματιστές των παρακάτω πλατφορμών και προγραμμάτων:
- npm
- PyPI
- RubyGems
Nascent Malware σε Registry packages
Το αυτοματοποιημένο πλαίσιο της Phylum ειδοποίησε τους ερευνητές για το πακέτο “kwxiaodian” στις 3 Σεπτεμβρίου 2023, και στο αρχείο setup.py αποκαλύφθηκαν τα εξής περιεχόμενα:
Ταυτόχρονα, λάβανε ειδοποιήσεις σχετικά με επιβλαβή πακέτα npm που εκτελούσαν συγκεκριμένες ενέργειες στο preinstall hook του package.json, και έπειτα εκτελούνταν το αποκρυπτογραφημένο αρχείο index.js.
Παρακάτω αναφέρονται όλα τα πράγματα που περιλαμβάνει αυτό το πακέτο:
- Αρχικά συλλέγονται οι πληροφορίες network interface.
- Επιπλέον, συλλέχθηκαν βασικές πληροφορίες όπως λεπτομέρειες του λειτουργικού συστήματος, διαθέσιμη ελεύθερη μνήμη κ.λπ.
- Αν η πλατφόρμα δεν είναι macOS, τότε η εκτέλεση λήγει αυτόματα.
- Τέλος, κρυπτογραφεί και αποστέλλει τα δεδομένα στον διακομιστή του επιτιθέμενου.
Το πακέτο Rubygems αντιγράφει τα πρότυπα του PyPI και του npm, ενεργοποιώντας αυτόματα την εκτέλεση μέσω του “Rakefile” για να συλλέξει και να αποστείλει πληροφορίες host σε έναν remote server.
Κοινότητες οικοσυστημάτων
Ωστόσο, εκτός από όλα αυτά, οι εκστρατείες που στοχεύουν στο npm, το PyPI και το RubyGems είναι πανομοιότυπες, όπως αποκαλύπτεται από τους ερευνητές κατά την προσεκτική ανασκόπηση και ανάλυση.
Παρακάτω, αναφέρονται όλες οι κοινότητες που συνυπάρχουν:
- Στο 81.70.191.194 όλα τα πακέτα επικοινωνούν με μια υπηρεσία.
- Συλλέγει και στέλνει πληροφορίες συστήματος σε αυτήν την υπηρεσία.
- Στα συστήματα macOS, τα πακέτα εκτελούνται μόνο.
- Συλλέγει και στέλνει πληροφορίες συστήματος σε αυτήν την υπηρεσία.
Χρονοδιάγραμμα
Τα κακόβουλα λογισμικά είναι διαδεδομένα στους καταλόγους ανοικτού κώδικα και παρά την ευαισθητοποίηση για την ασφάλεια, οι προγραμματιστές συχνά ανακτούν και εκτελούν πακέτα από άγνωστες πηγές. Η χειροκίνητη επιθεώρηση γίνεται ανέφικτη λόγω του αυξανόμενου αριθμού εξαρτήσεων.
Σε αυτό το σενάριο, η χρήση αυτοματοποιημένων λύσεων για την ανίχνευση και τον αποκλεισμό πακέτων που παραβιάζουν τις καθορισμένες πολιτικές είναι μια σοφή προσέγγιση για τη διαχείριση του κακόβουλου λογισμικού και άλλων κινδύνων.
Πηγή πληροφοριών: gbhackers.com
