Er zijn maar liefst 60 kwaadaardige NPM-pakketten ontdekt in het pakketregister met kwaadaardige functionaliteit om hostnamen, IP-adressen, DNS-servers en gebruikersmappen te oogsten naar een door Discord gecontroleerd eindpunt.
De pakketten, gepubliceerd onder drie verschillende accounts, worden geleverd met een installatietime script dat wordt geactiveerd tijdens NPM -installatie, zei Socket Security -onderzoeker Kirill Boychenko in een rapport dat vorige week werd gepubliceerd. De bibliotheken zijn meer dan 3000 keer collectief gedownload.
“Het script richt zich op Windows-, MacOS- of Linux -systemen en bevat eenvoudige sandbox -ontwijkingscontroles, waardoor elk geïnfecteerd werkstation of een knooppunt voor continu -integratie een potentiële bron van waardevolle verkenning wordt”, aldus het Software Supply Chain -beveiligingsbedrijf.
De namen van de drie accounts, die elk 20 pakketten hebben gepubliceerd binnen een periode van 11 dagen, worden hieronder vermeld. De accounts bestaan niet meer op NPM –
- BBBB335656
- CDSFDFAFD1232436437, en
- SDSDS656565
De kwaadaardige code, per socket, is expliciet ontworpen om elke machine die het pakket installeert vingerafdrukken, terwijl hij ook de uitvoering afbreekt als het detecteert dat het wordt uitgevoerd in een gevirtualiseerde omgeving geassocieerd met Amazon, Google en anderen.
De geoogste informatie, die hostdetails, System DNS -servers, NET -informatie -interfacekaart (NIC) -informatie en interne en externe IP -adressen omvat, wordt vervolgens verzonden naar een Discord -webhook.
“Door interne en externe IP -adressen, DNS -servers, gebruikersnamen en projectpaden te oogsten, stelt het een dreigingsacteur in staat om het netwerk in kaart te brengen en hoogwaardige doelen te identificeren voor toekomstige campagnes,” zei Boychenko.
De openbaarmaking volgt nog een set van acht NPM-pakketten die zich voordoen als helperbibliotheken voor veelgebruikte JavaScript-frameworks, waaronder React, Vue.js, Vite, Node.js en de open-source Quill-editor, maar de implementatie van de vernietigende ladingen die eenmaal zijn geïnstalleerd. Ze zijn meer dan 6.200 keer gedownload en zijn nog steeds beschikbaar om te downloaden vanuit de repository –
- vite-plugin-vue-extend
- kill-imago-downloader
- JS-Hood
- JS-bom
- vue-plugin-bom
- vite-plugin-bom
- vite-plugin-bomb-extend, en
- vite-plugine-react-extend
“Maskerading als legitieme plug -ins en hulpprogramma’s, terwijl ze in het geheim destructieve ladingen bevatten die zijn ontworpen om gegevens te corrumperen, kritieke bestanden en crashsystemen te verwijderen, deze pakketten bleven onopgemerkt,” zei Socket Security Researcher Kush Pandya.
Sommige van de geïdentificeerde pakketten zijn gevonden om automatisch uit te voeren zodra ontwikkelaars ze in hun projecten oproepen, waardoor recursieve verwijdering van bestanden met betrekking tot Vue.js, React en Vite mogelijk is. Anderen zijn ontworpen om fundamentele JavaScript -methoden te corrumperen of te knoeien met browseropslagmechanismen zoals LocalStorage, SessionStorage en cookies.
Een ander opmerkingpakket is JS-Bomb, dat verder gaat dan het verwijderen van Vue.js framework-bestanden door ook een systeemuitsluiting te initiëren op basis van de huidige tijd van de uitvoering.
De activiteit is herleid tot een dreigingsacteur genaamd XuxingFeng, die ook vijf legitieme, niet-schadelijke pakketten heeft gepubliceerd die werken zoals bedoeld. Sommige malafide pakketten werden gepubliceerd in 2023. “Deze dubbele benadering van het vrijgeven van zowel schadelijke als nuttige pakketten creëert een gevel van legitimiteit die kwaadaardige pakketten waarschijnlijker wordt om te vertrouwen en geïnstalleerd te worden,” zei Pandya.
De bevindingen volgen ook op de ontdekking van een nieuwe aanvalscampagne die traditionele e-mail phishing combineert met JavaScript-code dat deel uitmaakt van een kwaadaardig NPM-pakket vermomd als een goedaardige open-source bibliotheek.
“Nadat de communicatie was vastgesteld, laadde het pakket een tweede fase script dat phishing-links aanpaste met behulp van het e-mailadres van het slachtoffer, waardoor ze naar een nep Office 365-inlogpagina zijn ontworpen om hun inloggegevens te stelen,” zei Fortra-onderzoeker Israel Cerda.
Het uitgangspunt van de aanval is een phishing-e-mail met een kwaadaardig .htm-bestand, dat gecodeerde JavaScript-code bevat die is gehost op JSDelivr en geassocieerd met een inmiddels verhuisd NPM-pakket genaamd CitiyCar8. Eenmaal geïnstalleerd, wordt de JavaScript -lading ingebed in het pakket gebruikt om een URL -omleidingsketen te initiëren die de gebruiker uiteindelijk naar een nep -bestemmingspagina leidt die is ontworpen om hun referenties vast te leggen.
“Deze phishing -aanval toont een hoog niveau van verfijning, waarbij dreigingsacteurs technologieën zoals AES -codering koppelen, NPM -pakketten die worden geleverd via een CDN en meerdere omleidingen om hun kwaadaardige bedoelingen te maskeren,” zei Cerda.
“De aanval illustreert niet alleen de creatieve manieren waarop aanvallers proberen detectie te ontwijken, maar benadrukt ook het belang van waakzaamheid in het steeds evoluerende landschap van cybersecurity-bedreigingen.”
Het misbruik van open-source repositories voor malwareverdeling is een beproefde aanpak geworden voor het uitvoeren van supply chain-aanvallen op schaal. In de afgelopen weken zijn kwaadaardige extensies voor het stelen van gegevens ook ontdekt in Microsoft’s Visual Studio Code (VS Code) Marketplace die zijn ontworpen om cryptocurrency-portemonnee-referenties te veroveren door zich te richten op stevigheid ontwikkelaars op Windows.
De activiteit is door Datadog Security Research toegeschreven aan een dreigingsacteur die het volgt als MUT-9332. De namen van de extensies zijn als volgt –
- Sollaibot
- onder, en
- Blankebesxstnion
“De extensies verbergen zichzelf als legitieme, het verbergen van schadelijke code binnen echte functies en gebruiken commando- en controledomeinen die relevant lijken voor stevigheid en die meestal niet als kwaadaardig zouden worden gemarkeerd,” zeiden datadog -onderzoekers.
“Alle drie de extensies maken gebruik van complexe infectieketens met meerdere stadia van verdoezelde malware, waaronder een die een payload gebruikt die verborgen is in een afbeeldingsbestand gehost op het internetarchief.”
In het bijzonder werden de extensies geadverteerd als het aanbieden van syntaxis scanning en kwetsbaarheidsdetectie voor soliditeitsontwikkelaars. Hoewel ze echte functionaliteit bieden, zijn de extensies ook ontworpen om kwaadaardige payloads te leveren die cryptocurrency -portemonnee -referenties stelen van slachtoffersystemen. De drie extensies zijn sindsdien verwijderd.
Het einddoel van de VS-code-extensie is om een kwaadaardige chroom-gebaseerde browserverlenging weg te glijden die in staat is Ethereum-portefeuilles te plunderen en ze naar een command-and-control (C2) eindpunt te lekken.
Het is ook uitgerust om een afzonderlijk uitvoerbaar bestand te installeren dat toetsaanslagen en scans van toepassingsgegevens van discord, chroomgebaseerde browsers, cryptocurrency-portefeuilles en elektronentoepassingen vastlegt.
MUT-9332 wordt ook beoordeeld als achter een recent bekendgemaakte campagne waarbij 10 kwaadwillende versus code-extensies betrokken waren om een XMRIG-cryptominer te installeren door te verlagen als tools voor coderende of kunstmatige intelligentie (AI).
“Deze campagne toont de verrassende en creatieve lengte waarnaar Mut-9332 bereid is te gaan als het gaat om het verbergen van hun kwaadaardige bedoelingen,” zei Datadog. “Deze payload-updates suggereren dat deze campagne waarschijnlijk zal doorgaan, en de detectie en verwijdering van deze eerste partij kwaadaardige VS-code-extensies kan MUT-9332 ertoe aanzetten tactieken in daaropvolgende te wijzigen.”
