Cybersecurity -onderzoekers hebben verschillende cryptocurrency -pakketten ontdekt op het NPM -register die zijn gekaapt naar sifon gevoelige informatie zoals omgevingsvariabelen van gecompromitteerde systemen.
“Sommige van deze pakketten hebben al meer dan 9 jaar op NPMJs.com gewoond en bieden legitieme functionaliteit aan blockchain -ontwikkelaars,” zei Sonatype -onderzoeker Axe Sharma. “De nieuwste versies van elk van deze pakketten waren echter beladen met verduisterde scripts.”
De getroffen pakketten en hun gekaapte versies worden hieronder vermeld –
- Landstroommap (2.1.8)
- BNB-JavaScript-SDK-NoBroadcast (2.16.16)
- @Bightighlander/Bitcoin-Cash-JS-Lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @Crosswise-Finance1/SDK-V2 (0.1.21)
- @KeepKey/Device-Protocol (7.13.3)
- @veniceswap/uikit (0.65.34)
- @VenicesWap/Eslint-Config-Pancake (1.6.2)
- Babel-Preset-Travix (1.2.1)
- @travix/ui-themes (1.1.5)
- @Coinmasters/typen (4.8.16)
Analyse van deze pakketten door het Software Supply Chain Security Security Firm heeft aangetoond dat ze zijn vergiftigd met zwaar verdoezelde code in twee verschillende scripts: “Pakket/scripts/launch.js” en “pakket/scripts/diagnostic-report.js.”
De JavaScript -code, die onmiddellijk nadat de pakketten zijn geïnstalleerd, worden uitgevoerd, zijn ontworpen om gevoelige gegevens zoals API -toetsen, toegangstokens, SSH -toetsen te oogsten en deze te exfiltreren naar een externe server (“EOI2ECTD5A5TN1H.M.PIPEDREAM (.) NET”).
Interessant is dat geen van de GitHub -repositories die aan de bibliotheken zijn geassocieerd, is gewijzigd om dezelfde wijzigingen op te nemen, waarbij vragen worden opgeroepen over hoe de dreigingsactoren achter de campagne erin slaagden om kwaadaardige code te pushen. Het is momenteel niet bekend wat het einddoel van de campagne is.
“We veronderstellen de oorzaak van de kaping om oude NPM -onderhoudsaccounts te zijn die worden gecompromitteerd via referentievulling (waar bedreigingsactoren gebruikersnamen en wachtwoorden die in eerdere inbreuken zijn gelekt, opnieuw in eerdere inbreuken om accounts op andere websites te compromitteren), of een verlopen domeinovername, opnieuw proberen,” zei Sharma.
“Gezien de gelijktijdige timing van de aanvallen op meerdere projecten van verschillende onderhouders, lijkt het eerste scenario (overname van de onderhoudsrekeningen) waarschijnlijker te zijn in tegenstelling tot goed georiënteerde phishing-aanvallen.”
De bevindingen onderstrepen de noodzaak voor het beveiligen van accounts met tweefactor-authenticatie (2FA) om overname-aanvallen te voorkomen. Ze benadrukken ook de uitdagingen die verband houden met het handhaven van dergelijke beveiligingsbeschermers wanneer open-source projecten aan het einde van de levensduur bereiken of niet langer actief worden onderhouden.
“De case benadrukt een dringende behoefte aan verbeterde beveiligingsmaatregelen voor supply chain en een grotere waakzaamheid bij het monitoren van externe ontwikkelaars van softwareregisters,” zei Sharma. “Organisaties moeten in elke fase van het ontwikkelingsproces prioriteit geven aan de beveiliging om risico’s die verband houden met afhankelijkheden van derden te verminderen.”
