-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Złośliwe pakiety NPM dystrybuowane przez cyberprzestępców

03 marca 2021, 15:09 | W biegu | komentarze 2
Tagi: ,

Pamiętacie nasz artykuł “Zaskakująca metoda infekcji wielkich (i mniejszych) firm” ? Jeśli nie, to w skrócie: badacze uploadowali swoje pakiety o odpowiednich nazwach do popularnych repozytoriów (typu npm). W środku rzeczywiście zawarli własny kod, który wykonał się w infrastrukturach firm z tytułu. Nie chodzi tutaj o uploadowanie pakietów, które mają podobną nazwę jak te oryginalne i liczenie na pomyłkę deweloperów. Trick polegał na tym, żeby zuploadować pakiet o takiej samej nazwie, jak pakiety które nie występowały w publicznych repozytoriach. Badacze nazwali swoją technikę ataku: dependency confusion

* Na czerwono, pakiety nie występujące w publicznych repozytoriach

Gorączka złota bug bounty

Oczywiście nie można zapomnieć o tym, że autor nowej techniki ataku “przytulił” ponad 130000$ w ramach programów bug bounty. Nic w tym dziwnego, technika pozwoliła na skuteczne zaatakowanie kolosów takich jak chociażby Paypal, Microsoft, Apple, Shopify, Netflix, Tesla, czy Uber. To wszystko zachęciło innych badaczy do podjęcia rękawicy i spróbowania szczęścia

* Inni badacze próbują wykorzystać technikę “dependency confusion”. “Security research purpose only” ma być znakiem dla NPM, że pakiet nie jest próbą “podszywania się”, a jedynie próbą zdobycia nagrody z programów bug bounty.

Raport Sonatype

Jak wynika z raportu Sonatype, do tej “gorączki złota” dołączyli cyberprzestępcy, którzy w przeciwieństwie do badaczy, swoje bug bounty mogą “odblokować” w inny sposób – np infekując organizację złośliwym kodem

* Zdjęcie przykładowego pakietu, jak widać tym razem nie ma żadnego opisu że służy on do celów testowych (oświadczenie również nie gwarantuje dobrych intencji)

* A to inna paczka, nazwana “amzn” (skrót od Amazon)

A to kod zawarty w run.js:

Powyższy kod uruchamia reverse shell’a, dzięki czemu cyberprzestępca może wykonywać dowolne komendy w czasie rzeczywistym.

Plik “/etc/shadow” jest następcą “/etc/passwd”, który przechowuje zaszyfrowane dane haseł kont użytkowników w systemie Linux. 

Podsumowanie

Z pozoru, w 2020 – 2021 roku powinno być “bezpieczniej” w cyberprzestrzeni – w końcu rosną firmy związane z cyberbezpieczeństwem, powstają nowe procedury bezpieczeństwa, większy jest również dostęp do wiedzy. Z drugiej strony, jeden z największych ataków w historii – SolarWinds odbył się stosunkowo niedawno. Technika, o której mowa w artykule wyszła na światło dzienne w 2021r.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Guzy

    Czy to już pora przerzucić się na Deno? :)

    Odpowiedz
    • Autor

      Imo, poczekać i patrzeć jak się rozwija, bo Deno jest dość „świeże”

      Odpowiedz

Odpowiedz na Autor