Cybersecurity-onderzoekers hebben een kwaadaardig pakket ontdekt in het npm-pakketregister dat zich voordoet als een bibliotheek voor het detecteren van kwetsbaarheden in slimme contracten van Ethereum, maar in werkelijkheid een open-source trojan voor externe toegang genaamd Quasar RAT op ontwikkelaarssystemen laat vallen.
Het zwaar versluierde pakket, genaamd ethereumvulncontracthandler, werd op 18 december 2024 gepubliceerd op npm door een gebruiker met de naam “solidit-dev-416.” Op het moment van schrijven is het nog steeds beschikbaar om te downloaden. Het is tot nu toe 66 keer gedownload.
“Bij de installatie haalt het een kwaadaardig script op van een externe server en voert het stil uit om de RAT op Windows-systemen te implementeren”, zei Socket-beveiligingsonderzoeker Kirill Boychenko in een analyse die vorige maand werd gepubliceerd.
De kwaadaardige code die in ethereumvulncontracthandler is ingebed, wordt verdoezeld door meerdere lagen van verduistering, waarbij gebruik wordt gemaakt van technieken zoals Base64- en XOR-codering, evenals minificatie om analyse- en detectie-inspanningen te weerstaan.
De malware voert ook controles uit om te voorkomen dat deze in sandbox-omgevingen wordt uitgevoerd, voordat hij als lader fungeert door een tweede fase van de payload op te halen en uit te voeren van een externe server (“jujuju(.)lat”). Het script is ontworpen om PowerShell-opdrachten uit te voeren om de uitvoering van Quasar RAT te initiëren.
De trojan voor externe toegang zorgt op zijn beurt voor persistentie via wijzigingen in het Windows-register en maakt contact met een command-and-control (C2)-server (“captchacdn(.)com:7000”) om verdere instructies te ontvangen waarmee deze informatie kan verzamelen en exfiltreren .
Quasar RAT, voor het eerst publiekelijk uitgebracht op GitHub in juli 2014, is door de jaren heen door verschillende bedreigingsactoren gebruikt voor zowel cybercriminaliteit als cyberspionagecampagnes.
“De bedreigingsacteur gebruikt deze C2-server ook om geïnfecteerde machines te catalogiseren en meerdere gecompromitteerde hosts tegelijkertijd te beheren als deze campagne deel uitmaakt van een botnetinfectie”, aldus Boychenko.
“In dit stadium is de machine van het slachtoffer volledig gecompromitteerd en staat deze onder volledige bewaking en controle van de bedreigingsacteur, klaar voor regelmatige check-ins en om bijgewerkte instructies te ontvangen.”
Het ballonprobleem van nepsterren op GitHub
De onthulling komt nadat een nieuwe studie van Socket, samen met academici van Carnegie Mellon University en North Carolina State University, een snelle toename van niet-authentieke ‘sterren’ heeft onthuld die worden gebruikt om de populariteit van met malware doorspekte GitHub-repository’s kunstmatig op te blazen.
Hoewel het fenomeen al een tijdje bestaat, ontdekte het onderzoek dat de meerderheid van de nepsterren wordt gebruikt om kortstondige malware-opslagplaatsen te promoten die zich voordoen als piraterijsoftware, game-cheats en cryptocurrency-bots.
Geadverteerd via GitHub-sterrenhandelaren zoals Baddhi Shop, BuyGitHub, FollowDeh, R for Rank en Twidium, wordt vermoed dat de ‘open’ zwarte markt achter maar liefst 4,5 miljoen ‘nep’-sterren zit van 1,32 miljoen accounts en verspreid over 22.915 repositories, wat de omvang van het probleem.
Met Baddhi Shop, zo ontdekte The Hacker News, kunnen potentiële klanten 1.000 GitHub-sterren kopen voor $ 110. “Koop GitHub Followers, Stars, Forks en Watchers om de geloofwaardigheid en zichtbaarheid van je repository te vergroten”, luidt een beschrijving op de site. “Echte betrokkenheid trekt meer ontwikkelaars en bijdragers aan uw project!”
“Er zijn slechts een paar repositories met nep-stercampagnes gepubliceerd in pakketregisters zoals npm en PyPI”, aldus de onderzoekers. “Er zijn er nog minder die op grote schaal worden toegepast. Minstens 60% van de accounts die hebben deelgenomen aan nep-sterrencampagnes hebben triviale activiteitspatronen.”
Omdat de toeleveringsketen van open source-software een aantrekkelijke vector voor cyberaanvallen blijft, herhalen de bevindingen dat het aantal sterren alleen al een onbetrouwbaar signaal is van kwaliteit of reputatie en niet mag worden gebruikt zonder verder onderzoek.
In een verklaring die in oktober 2023 met WIRED werd gedeeld, zei het codehostingplatform van Microsoft dat het al jaren op de hoogte is van het probleem en dat het actief werkt om nep-starrers uit de service te verwijderen.
“De belangrijkste kwetsbaarheid van het aantal sterren als maatstaf ligt in het feit dat de acties van alle GitHub-gebruikers even zwaar wegen in de definitie ervan”, aldus de onderzoekers.
“Als gevolg hiervan kan het aantal sterren gemakkelijk worden opgeblazen met een groot aantal botaccounts of (aantoonbaar lage reputatie) crowdsourced mensen, zoals we in ons onderzoek hebben aangetoond. Om dergelijke uitbuiting te voorkomen, kan GitHub overwegen om een gewogen metriek te presenteren aan de signaalrepository populariteit (bijvoorbeeld gebaseerd op dimensies van netwerkcentraliteit), die aanzienlijk moeilijker te vervalsen is.”