В останні місяці спостерігається Значне збільшення поширення шкідливого програмного забезпечення через репозиторій npm, найпоширеніший менеджер пакетів в екосистемі Node.js. Різні команди експертів з кібербезпеки виявили, що за цим стоять пов’язані з Північною Кореєю особи. хвиля з 67 шкідливих пакетів, завантажений понад 17.000 XNUMX разів, перш ніж був ідентифікований та видалений, в рамках кампанії під назвою «Заразне інтерв'ю».
Стратегія нападників полягає в тому, щоб проникнути у відкриті середовища розробки, використовуючи популярність npm, видаючи себе за легітимні проекти та вносячи незначні зміни, щоб уникнути виявлення. Розробники та організації, які покладаються на ці пакети для автоматизації та пришвидшення своїх робочих процесів, можуть бути ненавмисно скомпрометовані.
Кампанія «Заразне інтерв'ю»: постійна загроза на npm
Ця операція, що отримала назву «Заразне інтерв'ю», це не поодинокий інцидент, а радше схема, що підтримувалася протягом тривалого часу північнокорейськими державними групами. Одна з виявлених тактик включає фальшиві пропозиції роботи в першу чергу спрямований на фахівців з розробки програмного забезпечення. Процес «відбору» включає нібито технічні тести для кандидатів, які насправді передбачають встановлення одного зі скомпрометованих npm-пакетів, що дозволяє шкідливому програмному забезпеченню працювати на їхніх пристроях.
Кінцева мета цих атак — викрасти конфіденційні дані, таких як облікові дані, файли криптовалюти або інформація про бізнес-системи, та підтримувати постійний доступ до скомпрометованих комп’ютерів.
Скомпрометовані пакети та методи обману
Серед 67 посилок ідентифіковано Існують назви, що імітують відомі інструменти та бібліотеки в екосистемі JavaScript, такі як «vite-meta-plugin», «vite-postcss-tools» та «js-prettier». Часто різниця полягає в незначному відхиленні або друкарській помилці від фактичної назви, що ускладнює користувачам виявлення шахрайства. Ці типи методів також використовувалися в інших кампаніях шкідливого програмного забезпечення в AUR..
Під час встановлення одного з цих пакетів запускається програма. пост-інсталяційний скрипт Це запускає «XORIndex Loader» – шкідливий компонент, спеціально розроблений для обходу традиційних систем виявлення. Цей завантажувач збирає інформацію з пристрою, надсилає її на сервери, контрольовані зловмисниками (використовуючи легітимну інфраструктуру, таку як Vercel), та отримує інструкції для завантаження та виконання нових шкідливих модулів, таких як «BeaverTail» та «InvisibleFerret».
Ця здатність модульне оновлення дозволяє шкідливому програмному забезпеченню розвиватися та адаптуватися до спроб очищення, створюючи динаміку «вбий крота», коли зловмисники завантажують нові варіанти, а дослідники виявляють та знищують старіші.
Технічна операція: обфускація та персистентність
«XORIndex Loader» вирізняється використанням методів розширене обфускація, наприклад, кодування текстових рядків за допомогою XOR та обертання кількох кінцевих точок командування та керування. Після збору таких різноманітних даних, як ім'я користувача, ім'я хоста, тип операційної системи, IP-адреса та геолокація пристрою, завантажувач виконує скрипти JavaScript, отримані від серверів зловмисників, за допомогою функцій "eval()", що дозволяє йому завантажувати та активувати додаткові корисні навантаження без взаємодії з користувачем. Виявлення шкідливого програмного забезпечення в офіційних репозиторіях також зросло за останні місяці..
У другому сценарії головну роль грає "Бобровий Хвіст", спеціаліст з витягувати конфіденційну інформацію з криптовалютних гаманців та каталоги широко використовуваних розширень браузера. Викрадені файли стискаються та надсилаються на IP-адреси, контрольовані злочинцями. Потім активується бекдор "InvisibleFerret" для підтримки довгострокового контролю над системою.
Експерти виявили, що ці механізми Вони однаково впливають на користувачів Windows, macOS та Linux., що розширює потенційний масштаб атаки.
Рекомендації та захисні заходи
Компанії, що покладаються на екосистему npm та незалежні розробники Їм слід бути вкрай обережними, особливо коли вони отримують неочікувані пропозиції роботи або незнайомі посилки. Дослідники радять:
- Перевірте авторство та репутацію пакетів перед їх встановленням.
- Проаналізуйте вихідний код на наявність методів обфускації або підозрілих скриптів.
- використовувати інструменти аналіз у реальному часі, такі як розширення браузера або інтеграції в платформи контролю версій, такі як GitHub, які попереджають вас про потенційні ризики залежностей.
- Надавати пріоритет використанню проектів, що підтримуються активними громадами та мають прозорий послужний список.
- Запускайте нові бібліотеки в пісочницях, перш ніж переходити до продакшену.
Кампанія «Заразне інтерв'ю» та поява завантажувачів, таких як шоу XORIndex Важливість посилення контролю безпеки в ланцюжку постачання програмного забезпечення та необхідність бути уважним до будь-яких ознак підозрілої активності в репозиторіях npm. Співпраця між розробниками, платформами та експертами з кібербезпеки буде важливою для запобігання цим загрозам, які через свій масштаб та складність становлять виклик для тисяч фахівців та компаній у всьому світі.
