Digitaaliseen maailmaan ilmestyi äskettäinen kybertapahtuma, joka koski haitallista npm-pakettia nimeltä "osyhteensopiva". 9. tammikuuta 2024 julkaistu paketti ladattiin 380 kertaa ennen kuin se havaittiin ja poistettiin. Ohjelmiston toimitusketjun tietoturvayhtiö Phylumin analyysi paljasti, että se sisälsi vaarallisia osia, mukaan lukien suoritettavan tiedoston, dynaamisen linkkikirjaston (DLL) ja salatun DAT-tiedoston sekä JavaScript-tiedoston.
Tilanne pahenee entisestään, kun saamme selville, että tämä JavaScript-tiedosto, "index.js", laukaisee komentosarjan "autorun.bat", joka toimii vain Microsoft Windows -käyttöjärjestelmissä. Jos se havaitsee, että järjestelmä ei ole käynnissä Windowsissa, komentosarja näyttää virheilmoituksen, joka ehdottaa suorittamista "Windows Server OS -käyttöjärjestelmässä". Lisäksi eräkomentosarja tarkistaa järjestelmänvalvojan oikeudet ja, jos se ei onnistu, käynnistää Microsoft Edge -komponentin nimeltä "cookie_exporter.exe" PowerShell-komennolla.
Tämä toiminto käynnistää User Account Control (UAC) -kehotteen, joka pyytää järjestelmänvalvojan tunnistetietoja binaarin suorittamiseen. Kun se on hyväksytty, hyökkäyksen seuraava vaihe aktivoidaan suorittamalla troijalaistettu DLL ("msedge.dll"), joka käyttää DLL-hakujärjestyksen kaappaustekniikkaa DAT-tiedoston ("msedge.dat") salauksen purkamiseen. Se käynnistää toisen DLL-tiedoston ("msedgedat.dll"), joka muodostaa yhteydet hyökkääjän ohjaamaan toimialueeseen "kdark1[.]com" ZIP-arkiston hakemiseksi.
Äärimmäisen vaarallinen troijalainen Windowsille jaetaan vapaasti Internetissä
ZIP-arkiston sisällä hyökkääjät piilottavat AnyDesk-ohjelmiston ja etäkäyttötroijalaisen ("verify.dll"), joka pystyy vastaanottamaan ohjeita komento- ja ohjauspalvelimelta (C2) ja keräämään arkaluonteisia tietoja. Phylum paljasti, että paketti asentaa Chrome-laajennuksia, määrittää AnyDeskin, piilottaa näytön, poistaa Windowsin sammutuksen ja tallentaa näppäimistön ja hiiren toiminnan.
Vaikka "osyhteensopiva" näyttää olevan ainoa mukana oleva npm-moduuli, tämä tapaus on hälyttävä merkki uhkatoimijoiden lisääntyneestä kiinnostuksesta avoimen lähdekoodin ohjelmistojen (OSS) ekosysteemeihin toimitusketjun hyökkäyksiä varten.
Hienostunut prosessi tietojen salauksen purkamiseksi, peruutetun varmenteen käyttäminen allekirjoittamiseen ja muiden tiedostojen purkaminen etälähteistä osoittavat, että se on monimutkainen verrattuna yleisiin OSS-ekosysteemien tapauksiin.
Lisäksi pilvitietoturvayritys Aqua raportoi äskettäin, että 21,2 % 50.000 2,1 ladatuimmasta npm-paketista on vanhentuneita, mikä muodostaa suuren tietoturvariskin. Vaikutus vaikuttaa noin XNUMX miljardiin viikoittaiseen lataukseen, mukaan lukien arkistoidut ja poistetut GitHub-tietovarastot sekä paketit, joita ylläpidetään ilman näkyvää arkistoa.
Tietoturvatutkijat Ilay Goldman ja Yakir Kadkoda korostivat tilanteen vakavuutta, kun ylläpitäjät valitsevat tietoturva-aukkojen korjaamisen sijaan vanhentuvan paketeista, jolloin käyttäjät altistuvat ilmoittamattomille ja mahdollisesti vakaville uhille.
