HomeSecurityΗ βιβλιοθήκη XMLRPC npm, κλέβει δεδομένα και αναπτύσσει Crypto Miner

Η βιβλιοθήκη XMLRPC npm, κλέβει δεδομένα και αναπτύσσει Crypto Miner

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού, η οποία παρέμενε ενεργή για περισσότερο από έναν χρόνο στο μητρώο npm πακέτων, ξεκινώντας μέσω της φαινομενικά αθώας βιβλιοθήκης @0xengine/xmlrpc.

XMLRPC

Στην βιβλιοθήκη XMLRPC προστέθηκε κακόβουλος κώδικας για την κλοπή ευαίσθητων δεδομένων και την εξόρυξη κρυπτονομισμάτων (crypto mining). Το πακέτο κυκλοφόρησε αρχικά στις 2 Οκτωβρίου 2023 ως διακομιστής και πελάτης XML-RPC για το Node.js.

Δείτε περισσότερα: Hackers εκμεταλλεύονται API Docker Servers για Crypto Mining επιθέσεις

Η Checkmarx, η οποία ανακάλυψε το κακόβουλο πακέτο, ανέφερε ότι ο κακόβουλος κώδικας εισήχθη στρατηγικά στην έκδοση 1.3.4, επιτρέποντας τη συλλογή πληροφοριών όπως κλειδιά SSH, ιστορικό bash, μεταδεδομένα συστήματος και περιβαλλοντικές μεταβλητές κάθε 12 ώρες. Η εξαγωγή των δεδομένων γινόταν μέσω υπηρεσιών όπως το Dropbox και το file.io.

Η επίθεση εξαπλώθηκε με δύο τρόπους: μέσω άμεσης εγκατάστασης npm και ως κρυφή εξάρτηση σε αποθετήριο GitHub με το όνομα yawpp, προκαλώντας την αυτόματη λήψη του κακόβουλου πακέτου όταν οι χρήστες επιχειρούσαν να εγκαταστήσουν το εργαλείο yawpp. Δεν είναι σαφές αν ο προγραμματιστής πρόσθεσε σκόπιμα το πακέτο ως εξάρτηση.

Μετά την εγκατάσταση, το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος, εγκαθιστά επιμονή μέσω του systemd και εγκαθιστά τον XMRig miner. Μέχρι στιγμής, 68 συστήματα έχουν εντοπιστεί να εξορύσσουν κρυπτονομίσματα μέσω του πορτοφολιού Monero του επιτιθέμενου. Επιπλέον, το κακόβουλο λογισμικό μπορεί να παρακολουθεί τις διεργασίες και να τερματίζει όποιες σχετίζονται με την εξόρυξη, αν ανιχνεύσει δραστηριότητα χρήστη.

XMLRPC

Διαβάστε επίσης: Ευπάθεια Atlassian Confluence χρησιμοποιείται για crypto-mining επιθέσεις

Αυτό υπογραμμίζει τη σημασία της συνεχούς επαγρύπνησης στην αλυσίδα εφοδιασμού λογισμικού. Παράλληλα, η Datadog Security Labs αποκάλυψε μια άλλη κακόβουλη εκστρατεία που στοχεύει χρήστες Windows με ψεύτικα πακέτα σε npm και PyPI, με στόχο την εγκατάσταση κακόβουλου λογισμικού Blank-Grabber και Skuld Stealer.

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS