MKD-CIRT National Centre for Computer Incident Response
Нов сет од 48 малициозни npm пакети се откриени во складиштето npm со можности за распоредување на обратна школка на компромитирани системи.
„Овие пакети, измамнички именувани за да изгледаат легитимни, содржеа заматен JavaScript дизајниран да иницира обратна обвивка при инсталирањето на пакетот“, рече фирмата за безбедност на синџирот на снабдување со софтвер Phylum .
Сите фалсификувани пакети се објавени од npm корисник по име hktalent ( GitHub , X ). До моментот на пишување, 39 од пакетите поставени од авторот сè уште се достапни за преземање.
Синџирот за напад се активира по инсталацијата на пакетот преку кука за инсталирање во пакетот.json што повикува JavaScript код за да воспостави обратна школка до rsh.51pwn[.]com.
„Во овој конкретен случај, напаѓачот објави десетици пакети со бенигни звуци со неколку слоеви на заматување и измамнички тактики во обид на крајот да распореди обратна школка на која било машина што едноставно инсталира еден од овие пакети“, рече Phylum.
Наодите пристигнуваат веднаш по откритијата дека два пакети објавени во Python Package Index (PyPI) под облеката на поедноставната интернационализација инкорпорирани злонамерен код дизајниран да ги симнува чувствителните податоци од апликацијата на Telegram Desktop и системските информации.
Беше откриено дека пакетите, наречени localization-utils и locute, го враќаат конечниот товар од динамички генерирана URL-адреса на Pastebin и ги ексфилтрираат информациите до каналот Telegram контролиран од актерот.
Развојот го нагласува зголемениот интерес на актери за закана во средини со отворен код, што им овозможува да постават влијателни напади на синџирот на снабдување кои можат да таргетираат неколку клиенти низводно одеднаш.
„Овие пакети покажуваат посветен и детален напор да се избегне откривање преку статичка анализа и визуелна инспекција со примена на различни техники за замаглување“, рече Phylum, додавајќи дека „служат како уште еден остар потсетник за критичната природа на довербата на зависност во нашата отворена изворни екосистеми“.
Извор: (thehackernews.com)