Cybersecurity -onderzoekers hebben drie kwaadaardige pakketten in het NPM -register ontdekt die zich voordoen als een populaire Telegram Bot -bibliotheek, maar Harbour SSH Backdoors en data -exfiltratiemogelijkheden.
De betreffende pakketten worden hieronder vermeld –
Volgens Supply Chain Security Firm Socket zijn de pakketten ontworpen om Node-Telegram-Bot-API na te bootsen, een populair knooppunt.js Telegram Bot API met meer dan 100.000 wekelijkse downloads. De drie bibliotheken zijn nog steeds beschikbaar om te downloaden.
“Hoewel dat aantal mogelijk bescheiden klinkt, is er slechts een enkele gecompromitteerde omgeving nodig om de weg vrij te maken voor brede infiltratie of ongeautoriseerde gegevenstoegang,” zei beveiligingsonderzoeker Kush Pandya.
“Supply chain beveiligingsincidenten laten herhaaldelijk zien dat zelfs een handvol installaties catastrofale gevolgen kunnen hebben, vooral wanneer aanvallers directe toegang krijgen tot ontwikkelaarssystemen of productieservers.”
De Rogue -pakketten repliceren niet alleen de beschrijving van de legitieme bibliotheek, maar maken ook gebruik van een techniek genaamd Starjacking in een poging om de authenticiteit en truc die niet vermengd te worden, ontwikkelaars om ze te downloaden te verhogen.
Starjacking verwijst naar een aanpak waarbij een open-source pakket wordt gemaakt om populairder te zijn dan door de Github-repository te koppelen die aan de legitieme bibliotheek is gekoppeld. Dit maakt meestal gebruik van de niet-bestaande validatie van de relatie tussen het pakket en de GitHub-repository.
Uit de analyse van Socket bleek dat de pakketten zijn ontworpen om expliciet te werken aan Linux -systemen, waarbij twee SSH -sleutels worden toegevoegd aan het bestand “~/.ssh/geautoriseerde_keys”, waardoor de aanvallers hardnekkige externe toegang tot de host worden toegestaan.
Het script is ontworpen om de systeemgebruikersnaam en het externe IP -adres te verzamelen door contact op te nemen met “ipinfo (.) Io/ip.” Het gaat ook uit naar een externe server (“Solana.validator (.) Blog”) om de infectie te bevestigen.
Wat de pakketten stiekem maakt, is dat het verwijderen ervan de dreiging niet volledig elimineert, omdat de ingevoegde SSH -toetsen onbelemmerde externe toegang verlenen aan de dreigingsactoren voor latere code -uitvoering en data -exfiltratie.
De openbaarmaking wordt geleverd als een socket gedetailleerd een ander kwaadaardig pakket met de naam @NADERABDI/MERANT-ADVCASH dat is ontworpen om een reverse shell te lanceren naar een externe server terwijl hij vermomd als een Volet (voorheen Advcash) integratie.
“Het pakket @Naderabdi/Merchant-Advcash bevat hardcode logica die een omgekeerde shell opent naar een externe server bij aanroep van een handler van een betalingssucces,” zei het bedrijf. “Het is vermomd als een hulpprogramma voor verkopers om cryptocurrency of fiat -betalingen te ontvangen, valideren en beheren.”
“In tegenstelling tot veel kwaadaardige pakketten die code uitvoeren tijdens installatie of import, wordt deze payload uitgesteld tot runtime, met name na een succesvolle transactie. Deze aanpak kan helpen bij het ontwijken van detectie, omdat de kwaadaardige code alleen onder specifieke runtime -voorwaarden wordt uitgevoerd.”
