- Criminelen voegen honderden kwaadaardige pakketten toe aan npm
- De pakketten proberen een fase-twee-payload op te halen om de machines te infecteren
- De boeven deden hun uiterste best om zich te verstoppen waar ze de malware hosten
Softwareontwikkelaars, vooral degenen die met cryptocurrencies werken, worden opnieuw geconfronteerd met een supply chain-aanval via open bron codeopslagplaatsen.
Cybersecurity-onderzoekers van Phylum hebben gewaarschuwd dat een bedreigingsacteur honderden kwaadaardige pakketten heeft geüpload naar de open source pakketrepository npm. De pakketten zijn getypte versies van Puppeteer en Bignum.js. Ontwikkelaars die deze pakketten voor hun producten nodig hebben, kunnen uiteindelijk per ongeluk de verkeerde versie downloaden, omdat ze allemaal dezelfde naam hebben.
Indien gebruikt, zal het pakket verbinding maken met een verborgen server, de kwaadaardige lading uit de tweede fase ophalen en de computers van de ontwikkelaars infecteren. “Het binaire bestand dat naar de machine wordt verzonden, is een verpakt Vercel-pakket”, legden de onderzoekers uit.
Het IP-adres verbergen
Bovendien wilden de aanvallers iets anders uitvoeren tijdens de installatie van het pakket, maar omdat het bestand niet in het pakket zat, konden de onderzoekers het niet analyseren. “Een kennelijke vergissing van de auteur van het kwaadaardige pakket”, zeggen ze.
Wat deze campagne onderscheidt van andere soortgelijke typosquatting-campagnes in de toeleveringsketen, is de moeite die de boeven deden om de servers die ze controleerden te verbergen.
“Uit noodzaak, malware auteurs hebben moeten proberen meer nieuwe manieren te vinden om de intentie te verbergen en externe servers onder hun controle te verdoezelen”, aldus de onderzoekers. “Dit is eens te meer een blijvende herinnering dat aanvallen op de toeleveringsketen springlevend zijn.”
Het IP-adres is niet zichtbaar in de code van de eerste fase. In plaats daarvan krijgt de code eerst toegang tot een Ethereum smart contract, waar het IP-adres wordt opgeslagen. Dit bleek uiteindelijk een tweesnijdend zwaard, omdat de blockchain permanent en onveranderlijk is, waardoor de onderzoekers alle IP-adressen konden observeren die de boeven ooit hebben gebruikt.
Omdat de doelwitten ontwikkelaars zijn die met cryptocurrency werken, was het doel hoogstwaarschijnlijk om hun zaadzinnen te stelen en toegang te krijgen tot hun portemonnee.
Softwareontwikkelaars, vooral degenen die in de Web3-ruimte werken, zijn vaak het doelwit van dergelijke aanvallen. Daarom is het dubbel controleren van de namen van alle gedownloade pakketten een must.
Via Ars Technica
