Cybersecurity-onderzoekers hebben verschillende kwaadaardige pakketten in het npm-register onthuld die de Hardhat-tool van de Nomic Foundation nabootsen om gevoelige gegevens van ontwikkelaarssystemen te stelen.
“Door het vertrouwen in open source-plug-ins te misbruiken, hebben aanvallers deze platforms geïnfiltreerd via kwaadaardige npm-pakketten, waarbij ze cruciale gegevens zoals privésleutels, geheugensteuntjes en configuratiedetails exfiltreerden”, aldus het Socket-onderzoeksteam in een analyse.
Hardhat is een ontwikkelomgeving voor Ethereum-software, waarin verschillende componenten zijn opgenomen voor het bewerken, compileren, debuggen en implementeren van slimme contracten en gedecentraliseerde apps (dApps).
De lijst met geïdentificeerde nagemaakte pakketten is als volgt:
- nomicsfundaties
- @nomisfoundation/hardhat-configure
- geïnstalleerdpakketpubliceren
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- knooppunt-validators
- veiligheidshelm-implementeer-anderen
- veiligheidshelm-gas-optimizer
- soliditeit-opmerkingen-extractors
Van deze pakketten heeft @nomicsfoundation/sdk-test 1.092 downloads opgeleverd. Het werd ruim een jaar geleden gepubliceerd, in oktober 2023. Eenmaal geïnstalleerd, zijn ze ontworpen om geheugensteuntjes en privésleutels uit de Hardhat-omgeving te verzamelen, waarna ze worden geëxfiltreerd naar een door de aanvaller bestuurde server.
“De aanval begint wanneer gecompromitteerde pakketten worden geïnstalleerd. Deze pakketten exploiteren de Hardhat-runtime-omgeving met behulp van functies zoals hreInit() en hreConfig() om gevoelige details te verzamelen, zoals privésleutels, geheugensteuntjes en configuratiebestanden”, aldus het bedrijf.
“De verzamelde gegevens worden verzonden naar door de aanvaller gecontroleerde eindpunten, waarbij gebruik wordt gemaakt van hardgecodeerde sleutels en Ethereum-adressen voor gestroomlijnde exfiltratie.”
De onthulling komt dagen na de ontdekking van een ander kwaadaardig npm-pakket genaamd ethereumvulncontracthandler dat zich voordoet als een bibliotheek voor het detecteren van kwetsbaarheden in slimme contracten van Ethereum, maar in plaats daarvan functionaliteit herbergde om de Quasar RAT-malware te verwijderen.
In de afgelopen maanden zijn ook kwaadaardige npm-pakketten waargenomen die Ethereum slimme contracten gebruiken voor command-and-control (C2) serveradresdistributie, waarbij geïnfecteerde machines worden gecoöpteerd in een blockchain-aangedreven botnet genaamd MisakaNetwork. De campagne is terug te voeren op een Russisch sprekende dreigingsacteur genaamd ‘_lain’.
“De dreigingsactor wijst op een inherente complexiteit van het NPM-ecosysteem, waarbij pakketten vaak afhankelijk zijn van talloze afhankelijkheden, waardoor een complexe ‘nesting doll’-structuur ontstaat”, aldus Socket.
“Deze afhankelijkheidsketen maakt uitgebreide veiligheidsbeoordelingen een uitdaging en opent kansen voor aanvallers om kwaadaardige code te introduceren. _lain geeft toe dat hij misbruik maakt van deze complexiteit en afhankelijkheidsgroei in npm-ecosystemen, wetende dat het voor ontwikkelaars onpraktisch is om elk afzonderlijk pakket en elke afhankelijkheid onder de loep te nemen.”
Dat is niet alles. Er is een reeks valse bibliotheken ontdekt in de npm-, PyPI- en RubyGems-ecosystemen die gebruik maken van out-of-band Application Security Testing (OAST) tools zoals oastify.com en oast.fun om gevoelige gegevens naar door de aanvaller gecontroleerde servers te exfiltreren.
De namen van de pakketten zijn als volgt:
- adobe-dcapi-web (npm), dat voorkomt dat Windows-, Linux- en macOS-eindpunten in Rusland in gevaar worden gebracht en wordt geleverd met mogelijkheden om systeeminformatie te verzamelen
- monoliht (PyPI), dat systeemmetagegevens verzamelt
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), die ingebedde scripts bevatten die zijn ontworpen om gevoelige informatie via DNS-query’s over te dragen naar een oastify.com-eindpunt
“Dezelfde tools en technieken die zijn ontwikkeld voor ethische veiligheidsbeoordelingen worden misbruikt door bedreigingsactoren”, zegt Socket-onderzoeker Kirill Boychenko. “Oorspronkelijk bedoeld om kwetsbaarheden in webapplicaties bloot te leggen, worden OAST-methoden steeds vaker misbruikt om gegevens te stelen, commando- en controlekanalen (C2) op te zetten en aanvallen in meerdere fasen uit te voeren.”
Om de supply chain-risico’s van dergelijke pakketten te beperken, wordt softwareontwikkelaars aanbevolen de authenticiteit van pakketten te verifiëren, voorzichtig te zijn bij het typen van pakketnamen en de broncode te inspecteren vóór installatie.