Μια εξελιγμένη επίθεση typosquatting που στοχεύει χρήστες npm αποκαλύφθηκε πρόσφατα από την ερευνητική ομάδα απειλών της Socket, σε μια ανησυχητική εξέλιξη για την κοινότητα ανοιχτού κώδικα.
Δείτε επίσης: Το CRON#TRAP μολύνει τα Windows μέσω Linux VM που περιέχει backdoor
Ο κακόβουλος παράγοντας, που προσδιορίζεται ως “sanchezjosephine180“, έχει δημοσιεύσει έξι κακόβουλα πακέτα npm, που έχουν σχεδιαστεί για να μιμούνται δημοφιλείς βιβλιοθήκες μέσω typosquatting.
Τα κακόβουλα πακέτα είναι:
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
- babelcl
- chokader
- streamserch
- sss2h
- npmrunnall
- κόμβος-pyt
Αυτά τα κακόβουλα πακέτα πλαστοπροσωπούν ευρέως χρησιμοποιούμενες βιβλιοθήκες, όπως οι “babel-cli“, “chokidar“, “streamsearch“, “ssh2“, “npm-run-all” και “node-pty“. Οι ερευνητές της Socket παρατήρησαν ότι όλες αυτές οι νόμιμες βιβλιοθήκες διαθέτουν συλλογικά δεκάδες εκατομμύρια λήψεις, καθιστώντας τις πρωταρχικούς στόχους για εκμετάλλευση.
Δείτε ακόμα: Pygmy Goat backdoor εντοπίστηκε σε παραβιασμένα Sophos XG Firewall
Η στρατηγική του εισβολέα περιλαμβάνει την εκμετάλλευση κοινών σφαλμάτων πληκτρολόγησης (typosquatting) και την κατάχρηση του σεναρίου μετά την εγκατάσταση για τη διανομή κακόβουλου κώδικα.
Κατά την εγκατάσταση, το σενάριο εκτελεί το node app.js ακολουθούμενο από την εγκατάσταση του νόμιμου πακέτου, καλύπτοντας έξυπνα τις πραγματικές του προθέσεις. Τα κακόβουλα πακέτα εισάγουν μια κερκόπορτα SSH σε συστήματα Linux, παρέχοντας μη εξουσιοδοτημένη πρόσβαση στον παράγοντα απειλής.
Κατά τη στιγμή της ανακάλυψης, αυτά τα πακέτα είχαν ήδη ληφθεί πάνω από 700 φορές, θέτοντας σημαντικό κίνδυνο για προγραμματιστές και οργανισμούς.
Για να προστατευτούν από τέτοιες απειλές, οι προγραμματιστές και οι οργανισμοί θα πρέπει:
- Ελέγξουν ξανά τα ονόματα των πακέτων πριν από την εγκατάσταση
- Εφαρμόσουν αυστηρό έλεγχο εκδόσεων
- Ελέγχουν τακτικά τις εξαρτήσεις
- Χρησιμοποιούν εργαλεία ασφαλείας όπως η εφαρμογή GitHub του Socket και το εργαλείο CLI
Δείτε επίσης: Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
Το typosquatting είναι μια μορφή διαδικτυακής κακόβουλης πρακτικής κατά την οποία ένας επιτιθέμενος καταχωρεί ονόματα τομέα που είναι ορθογραφικά παρόμοια με δημοφιλείς ιστοσελίδες. Η πρόθεση είναι να εκμεταλλευτούν χρήστες που πληκτρολογούν λανθασμένα τη διεύθυνση URL και, κατά συνέπεια, να τον κατευθύνουν σε έναν κακόβουλο ιστότοπο. Αυτοί οι ιστότοποι μπορεί να φιλοξενούν διάφορες απειλές, όπως malware, phishing ή ανεπιθύμητες διαφημίσεις. Το φαινόμενο αυτό υπογραμμίζει τη σημαντικότητα της προσεκτικής πληκτρολόγησης διευθύνσεων URL και της χρήσης τεχνολογιών προστασίας στο διαδίκτυο για την αποφυγή πιθανών κινδύνων.
Πηγή: cybersecuritynews