Een lopende campagne richt zich op npm-ontwikkelaars met honderden typosquat-versies van hun legitieme tegenhangers in een poging hen te misleiden om platformonafhankelijke malware uit te voeren.
De aanval valt op door het gebruik van slimme Ethereum-contracten voor command-and-control (C2) serveradresdistributie, volgens onafhankelijke bevindingen van Checkmarx, Phylum en Socket die de afgelopen dagen zijn gepubliceerd.
De activiteit werd voor het eerst gemarkeerd op 31 oktober 2024, hoewel deze minstens een week eerder al aan de gang zou zijn geweest. Er zijn niet minder dan 287 typosquat-pakketten gepubliceerd in het npm-pakketregister.
“Toen deze campagne zich serieus begon te ontvouwen, werd het duidelijk dat deze aanvaller zich in de beginfase bevond van een typosquat-campagne gericht op ontwikkelaars die van plan waren de populaire Puppeteer, Bignum.js en verschillende cryptocurrency-bibliotheken te gebruiken”, aldus Phylum.
De pakketten bevatten verborgen JavaScript dat wordt uitgevoerd tijdens (of na) het installatieproces, wat uiteindelijk leidt tot het ophalen van een binair bestand in de volgende fase van een externe server op basis van het besturingssysteem.
Het binaire bestand op zijn beurt zorgt voor persistentie en exfiltreert gevoelige informatie met betrekking tot de aangetaste machine terug naar dezelfde server.
Maar in een interessante wending werkt de JavaScript-code samen met een slim contract van Ethereum, waarbij gebruik wordt gemaakt van de ethers.js-bibliotheek om het IP-adres op te halen. Het is de moeite waard hier te vermelden dat een campagne met de naam EtherHiding een soortgelijke tactiek gebruikte door de Smart Chain (BSC)-contracten van Binance te gebruiken om naar de volgende fase van de aanvalsketen te gaan.
Het gedecentraliseerde karakter van blockchain betekent dat het moeilijker is om de campagne te blokkeren, omdat de IP-adressen die onder het contract vallen in de loop van de tijd kunnen worden bijgewerkt door de bedreigingsacteur, waardoor de malware naadloos verbinding kan maken met nieuwe IP-adressen wanneer oudere worden geblokkeerd of verwijderd.
“Door de blockchain op deze manier te gebruiken, krijgen de aanvallers twee belangrijke voordelen: hun infrastructuur wordt vrijwel onmogelijk neer te halen vanwege de onveranderlijke aard van de blockchain, en de gedecentraliseerde architectuur maakt het uiterst moeilijk om deze communicatie te blokkeren”, zegt Checkmarx-onderzoeker Yehuda Gelb. .
Het is momenteel niet duidelijk wie er achter de campagne zit, hoewel het Socket Threat Research Team zei dat het foutmeldingen heeft geïdentificeerd die in het Russisch zijn geschreven voor het afhandelen van uitzonderingen en logdoeleinden, wat erop wijst dat de bedreigingsacteur Russisch zou kunnen spreken.
De ontwikkeling toont opnieuw de nieuwe manieren aan waarop aanvallers het open-source-ecosysteem vergiftigen, waardoor ontwikkelaars waakzaam moeten zijn bij het downloaden van pakketten uit softwarebronnen.
“Het gebruik van blockchain-technologie voor C2-infrastructuur vertegenwoordigt een andere benadering van supply chain-aanvallen in het npm-ecosysteem, waardoor de aanvalsinfrastructuur veerkrachtiger wordt tegen verwijderingspogingen en tegelijkertijd detectie-inspanningen worden bemoeilijkt”, aldus Gelb.