Nedavna otkrića su ponovo privukla pažnju na Sigurnosne prijetnje koje vrebaju unutar NPM ekosistemaNova kampanja povezana sa sjevernokorejskim sajber operacijama iskorištava zlonamjerni npm paketi kompromitovati računare programera softvera, prvenstveno predstavljajući se kao regruteri za tehnologiju koji nude visoko plaćene poslove na daljinu. Ova proračunata strategija, kombinujući tehničke prikrivanja i uvjerljivi društveni inženjering, ističe koliko lanci snabdijevanja otvorenim kodom mogu biti ranjivi na sofisticirane napade.
Istražitelji su otkrili da su organizatori ove kampanje, za koje se vjeruje da su povezani s operacijom "Zarazni intervju", objavili 35 različitih npm paketa na 24 računaBroj preuzimanja ovih paketa premašio je 4,000, a zabrinjavajuće je da je nekoliko njih navodno još uvijek dostupno u registru. Metodologija napada duboko je ukorijenjena u socijalni inženjeringProgramerima koji traže posao, obično putem LinkedIna, pristupaju pojedinci koji se predstavljaju kao regruteri. Programerima se zatim šalju zadaci kodiranja putem Google Docs ili Bitbucket repozitorija, a ove lažne procjene sadrže upute za instaliranje specifičnih npm modula - modula koji su, u stvarnosti, zaraženi zlonamjernim softverom.
Tehnički pregled: Višefazna isporuka zlonamjernog softvera
Ispod površine, infrastruktura napada koristi višeslojna strategija implementacije dizajniran za upornost i prikrivenost. Lanac infekcije počinje sa HexEval učitivač, program za učitavanje skriven unutar npm paketa koji otiske prstiju host sistema i inicira komunikaciju sa udaljenom infrastrukturom napadača. Heksadecimalno kodirani stringovi i obfusirani kod osiguravaju da se kritični detalji - poput krajnjih tačaka komandovanja i kontrole - otkrivaju samo tokom izvođenja, što otežava otkrivanje programa za učitavanje tokom statičke analize.
Nakon što žrtva instalira kompromitovani paket i pokrene dobijeni kod, HexEval šalje detaljne informacije o sistemu (kao što su detalji o OS-u, naziv hosta i informacije o mreži) i dohvaća sljedeću fazu: BeaverTailOvaj zlonamjerni softver je dizajniran kao višeplatformski kradljivac informacija, vješt u prikupljanju podataka preglednika, tokena sesije i datoteka kriptovalutnih novčanika. Ako meta odgovara željenim kriterijima, BeaverTail se zatim učitava. InvisibleFerret, backdoor koji omogućava napadačima daljinski pristup datotekama, pravljenje snimaka ekrana i održavanje kontrole nad uređajem dugo nakon početnog prodora.
Zanimljivo je da neki od zlonamjernih npm paketa posjeduju dodatno oružje: keylogger sposoban za snimanje pritisaka tipki i izvlačenje osjetljivih podataka u stvarnom vremenu. Analitičari su otkrili da se čini da je ova funkcionalnost rezervirano za posebno vrijedne ili prilagođene žrtve, jer je otkriven samo u podskupu napadačkih računa.
Tiposquatting i lažno predstavljanje pouzdanih projekata
Jedan od najproblematičnijih aspekata sheme je korištenje nazivi paketa s tipografskim greškama, koje imitiraju renomirane biblioteke kako bi povećale vjerovatnoću slučajnih instalacija. Primjeri koje navode istraživači sigurnosti uključuju male varijacije ili pogrešno napisane nazive popularnih projekata, kao što su react-plaid-sdk, reactbootstraps, vite-plugin-next-refresh, node-orm-mongoose i chalk-configTakve obmanjujuće taktike su vrlo učinkovite, jer programeri koji brzo rade mogu nenamjerno instalirati zlonamjerni paket, vjerujući da je to dobro uspostavljena biblioteka.
Pristup je još uvjerljiviji zbog personalizovana komunikacija od napadača. Koristeći obavještajne podatke iz otvorenih izvora, protivnici kreiraju prilagođene kampanje za one koji traže posao, nudeći pozicije s navodnim platama između 192,000 i 300,000 dolara kako bi privukli žrtve u svoju mrežu. Kandidati su često pod pritiskom da izvršavaju kod "uživo" - ponekad tokom intervjui na dijeljenom ekranu—i ne preporučuje se njihovo korištenje u sigurnim, kontejneriziranim okruženjima.
Sigurnosni analitičari su istakli da je kombinacija odloženo postavljanje malware-a, minimalni otisak u registru i uslovna isporuka korisnog sadržaja komplikuje i automatizovane i ručne napore pregleda. Ova evolucija u metodologiji napadača pokazuje duboko poznavanje načina rada programera i sigurnosnih alata na koje se oslanjaju.
Odbrambeni koraci za programere i zajednicu otvorenog koda
Svestan toga rizici povezani s registrom NPM-a i lancem snabdijevanja otvorenim kodom, ključno je da programeri usvoje proaktivne sigurnosne mjere. Preporučuje se da nepoznati paketi uvijek treba testirati u zatvorenim ili virtualiziranim okruženjima prije bilo kakvog izvršavanja na lokalnoj mašini. Uključivanje alata koji analiziraju potencijalne prijetnje u npm pakete može značajno smanjiti rizik od infiltracije. Osim toga, usvajanje naprednih alata za detekciju zlonamjernog softvera i povećana svijest o taktikama socijalnog inženjeringa također su bitni koraci za smanjenje izloženosti.
Kako napadi poput ovog ne pokazuju znakove jenjavanja, ekosistem otvorenog koda mora nastaviti jačati svoju odbranu. Brz odgovor istraživačke zajednice sigurnosti, uključujući napore za označavanje i uklanjanje aktivnih prijetnji, ključan je za ograničavanje dosega takvih operacija. Kontinuirana marljivost i edukacija ostaju ključni za održavanje sigurnosti ekosistema otvorenog koda. Za dublje razumijevanje strategija zaštite, pogledajte naš članak o... cómo proteger tus proyectos de npm.
