Ένα κακόβουλο πακέτο στον κατάλογο του Node Package Manager (NPM) χρησιμοποιεί αόρατους χαρακτήρες Unicode για να αποκρύψει κακόβουλο κώδικα, ενώ αξιοποιεί συνδέσμους του Google Calendar για να φιλοξενήσει τη διεύθυνση URL του σημείου εντολής και ελέγχου (command-and-control).
Δείτε επίσης: Επίθεση της αλυσίδας εφοδιασμού χτυπά το πακέτο npm rand-user-agent
Το πακέτο, με όνομα os-info-checker-es6, παρουσιάζεται ως βοηθητικό εργαλείο πληροφοριών και έχει ληφθεί πάνω από 1.000 φορές από την αρχή του μήνα.
Ερευνητές της Veracode, εταιρείας αξιολόγησης ασφάλειας λογισμικού, διαπίστωσαν ότι η πρώτη έκδοση του πακέτου προστέθηκε στον κατάλογο του NPM στις 19 Μαρτίου και ήταν αβλαβής, καθώς μόνο συνέλεγε πληροφορίες για το λειτουργικό σύστημα του υπολογιστή. Ο δημιουργός του πακέτου πρόσθεσε τροποποιήσεις λίγες ημέρες αργότερα, ενσωματώνοντας εκτελέσιμα αρχεία για συγκεκριμένες πλατφόρμες και μεταμφιεσμένα σενάρια εγκατάστασης.
Στις 7 Μαΐου δημοσιεύθηκε νέα έκδοση του πακέτου, η οποία περιλαμβάνει κώδικα για έναν «πολύπλοκο μηχανισμό εντολής και ελέγχου (C2)» που παραδίδει το τελικό κακόβουλο φορτίο. Η τελευταία διαθέσιμη έκδοση του os-info-checker-es6 στο npm είναι η v1.0.8 και είναι κακόβουλη, προειδοποιεί η Veracode.
Επιπλέον, το συγκεκριμένο πακέτο δηλώνεται ως εξάρτηση σε τέσσερα άλλα πακέτα του NPM: skip-tot, vue-dev-serverr, vue-dummyy και vue-bit — όλα παρουσιάζονται ως εργαλεία για προσβασιμότητα και ανάπτυξη πλατφορμών.
Παραμένει ασαφές αν ή πώς αυτά τα πακέτα προωθούνται από τον απειλητικό παράγοντα. Στην κακόβουλη έκδοση, ο επιτιθέμενος ενσωματώνει δεδομένα μέσα σε αυτό που φαίνεται ως μια συμβολοσειρά με χαρακτήρα ‘|’ (κάθετος). Ωστόσο, ακολουθείται από μια μακρά ακολουθία αόρατων χαρακτήρων Unicode από την περιοχή Variation Selectors Supplement (U+E0100 έως U+E01EF).
Αυτοί οι χαρακτήρες Unicode λειτουργούν κανονικά ως τροποποιητές, συνήθως για την παροχή παραλλαγών γραμμάτων σε σύνθετα συστήματα γραφής. Στην περίπτωση αυτή, χρησιμοποιούνται για την υλοποίηση στεγανογραφίας μέσω κειμένου — δηλαδή, την απόκρυψη πληροφοριών μέσα σε άλλα δεδομένα.
Δείτε ακόμα: Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
Η Veracode απέκρυψε και αποκωδικοποίησε τη συμβολοσειρά, εντοπίζοντας ένα φορτίο (payload) που αποτελεί μέρος ενός εξελιγμένου μηχανισμού εντολής και ελέγχου (C2), ο οποίος βασίζεται σε έναν σύντομο σύνδεσμο του Google Calendar για να φτάσει στη θέση που φιλοξενεί το τελικό κακόβουλο λογισμικό.
Οι ερευνητές εξηγούν ότι, μετά την ανάκτηση του συνδέσμου του Google Calendar, το κακόβουλο λογισμικό ακολουθεί μια σειρά από ανακατευθύνσεις, μέχρι να λάβει απάντηση HTTP 200 OK. Στη συνέχεια, εξάγει το περιεχόμενο του χαρακτηριστικού data-base-title από τη σελίδα HTML της εκδήλωσης, το οποίο περιέχει μια διεύθυνση URL κωδικοποιημένη σε base64 και οδηγεί στο τελικό φορτίο.
Μέσω μιας συνάρτησης με το όνομα ymmogvj, η διεύθυνση URL αποκωδικοποιείται και αποκαλύπτει το κακόβουλο φορτίο. Σύμφωνα με τους ερευνητές, το αίτημα αναμένει ένα base64-κωδικοποιημένο κακόβουλο φορτίο δεύτερου σταδίου στο σώμα της απάντησης, καθώς και πιθανώς έναν αρχικοποιητή vector (IV) και ένα μυστικό κλειδί στα HTTP headers – κάτι που υποδηλώνει πιθανή κρυπτογράφηση του τελικού φορτίου.
Η Veracode διαπίστωσε επίσης ότι το κακόβουλο φορτίο εκτελείται μέσω της εντολής eval(). Το σενάριο περιλαμβάνει έναν απλό μηχανισμό διατήρησης (persistence) στον προσωρινό κατάλογο του συστήματος, ο οποίος αποτρέπει την ταυτόχρονη εκτέλεση πολλαπλών διεργασιών.
Κατά τη διάρκεια της ανάλυσης, οι ερευνητές δεν κατάφεραν να ανακτήσουν το τελικό φορτίο, κάτι που υποδηλώνει ότι η κακόβουλη καμπάνια μπορεί να βρίσκεται σε παύση ή να είναι ακόμα σε αρχικό στάδιο. Παρά το γεγονός ότι η Veracode ανέφερε τα ευρήματά της στο NPM, τα ύποπτα πακέτα εξακολουθούν να είναι διαθέσιμα στην πλατφόρμα.
Δείτε επίσης: Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
Βάσει των παραπάνω, προκύπτει ένα ανησυχητικό φαινόμενο που αφορά την ασφάλεια στην εφοδιαστική αλυσίδα λογισμικού (software supply chain). Η περίπτωση του os-info-checker-es6 είναι ένα χαρακτηριστικό παράδειγμα κακόβουλου πακέτου open source που εκμεταλλεύεται την εμπιστοσύνη των προγραμματιστών σε ευρέως χρησιμοποιούμενα οικοσυστήματα όπως το npm.
Πηγή: bleepingcomputer
 χρησιμοποιεί αόρατους χαρακτήρες Unicode για να αποκρύψει κακόβουλο κώδικα.){kind=link}