Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού, η οποία παρέμενε ενεργή για περισσότερο από έναν χρόνο στο μητρώο npm πακέτων, ξεκινώντας μέσω της φαινομενικά αθώας βιβλιοθήκης @0xengine/xmlrpc.
Στην βιβλιοθήκη XMLRPC προστέθηκε κακόβουλος κώδικας για την κλοπή ευαίσθητων δεδομένων και την εξόρυξη κρυπτονομισμάτων (crypto mining). Το πακέτο κυκλοφόρησε αρχικά στις 2 Οκτωβρίου 2023 ως διακομιστής και πελάτης XML-RPC για το Node.js.
Δείτε περισσότερα: Hackers εκμεταλλεύονται API Docker Servers για Crypto Mining επιθέσεις
Η Checkmarx, η οποία ανακάλυψε το κακόβουλο πακέτο, ανέφερε ότι ο κακόβουλος κώδικας εισήχθη στρατηγικά στην έκδοση 1.3.4, επιτρέποντας τη συλλογή πληροφοριών όπως κλειδιά SSH, ιστορικό bash, μεταδεδομένα συστήματος και περιβαλλοντικές μεταβλητές κάθε 12 ώρες. Η εξαγωγή των δεδομένων γινόταν μέσω υπηρεσιών όπως το Dropbox και το file.io.
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
Η επίθεση εξαπλώθηκε με δύο τρόπους: μέσω άμεσης εγκατάστασης npm και ως κρυφή εξάρτηση σε αποθετήριο GitHub με το όνομα yawpp, προκαλώντας την αυτόματη λήψη του κακόβουλου πακέτου όταν οι χρήστες επιχειρούσαν να εγκαταστήσουν το εργαλείο yawpp. Δεν είναι σαφές αν ο προγραμματιστής πρόσθεσε σκόπιμα το πακέτο ως εξάρτηση.
Μετά την εγκατάσταση, το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος, εγκαθιστά επιμονή μέσω του systemd και εγκαθιστά τον XMRig miner. Μέχρι στιγμής, 68 συστήματα έχουν εντοπιστεί να εξορύσσουν κρυπτονομίσματα μέσω του πορτοφολιού Monero του επιτιθέμενου. Επιπλέον, το κακόβουλο λογισμικό μπορεί να παρακολουθεί τις διεργασίες και να τερματίζει όποιες σχετίζονται με την εξόρυξη, αν ανιχνεύσει δραστηριότητα χρήστη.
Διαβάστε επίσης: Ευπάθεια Atlassian Confluence χρησιμοποιείται για crypto-mining επιθέσεις
Αυτό υπογραμμίζει τη σημασία της συνεχούς επαγρύπνησης στην αλυσίδα εφοδιασμού λογισμικού. Παράλληλα, η Datadog Security Labs αποκάλυψε μια άλλη κακόβουλη εκστρατεία που στοχεύει χρήστες Windows με ψεύτικα πακέτα σε npm και PyPI, με στόχο την εγκατάσταση κακόβουλου λογισμικού Blank-Grabber και Skuld Stealer.
Πηγή: thehackernews