محققین امنیتی شرکت Phylum پکیج های npm مخربی را کشف کرده اند که با استفاده از کدهای جاوااسکریپت سعی در آلوده سازی سیستم دارند. در حال حاضر 48 پکیج بعنوان پکیج مخرب شناسایی شده اند که از بین آن ها 39 پکیج هنوز قابل دسترس می باشد. محققین امنیتی شرکت Phylum مجموعه جدیدی از 48 پکیج مخرب npm را در مخازن npm کشف کردند که قابلیت استقرار reverse shell بر روی سیستم های در معرض خطر را دارند. این پکیج ها که بطور فریبنده ای نامگذاری شده اند حاوی جاوااسکریپت های مبهمی هستند که برای شروع یک reverse shell در هنگام نصب آن ها طراحی شده اند.
تمام این پکیج های مخرب و تقلبی توسط یک کاربر با نام hktalent (Github, X) منتشر شده است که در حال حاضر 39 پکیج از تمام پکیج های مخرب بارگذاری شده و برای دانلود موجود هستند. زنجیره حمله پس از نصب پکیج از طریق package.json فعال می شود که یک کد جاوااسکریپت را برای ایجاد reverse shell به rsh.51pwn[.]com فراخوانی می کند.
در این مورد مهاجم ده ها پکیج سالم را با چندین لایه مبهم سازی شده و تاکتیک های فریبنده منتشر کرده است (مهاجمان از روش های هوشمندانه مبهم سازی و تکنیک های مختلف برای جلوگیری از ردیابی از طریق تجزیه و تحلیل ایستا و بازرسی بصری استفاده می کنند) تا در نهایت یک reverse shell را روی هر ماشینی که به سادگی قابلیت نصب یکی از این پکیج ها را دارد، استقرار کند.
یافته ها پس از افشای دو پکیج منتشر شده در پکیج های پایتون (PyPl) با پوشش ساده سازی کدهای مخربی که برای حذف داده های حساس برنامه دسکتاپ تلگرام و اطلاعات حساس سیستم طراحی شده بود، بدست آمدند. پکیج هایی که به نام های localization-utils و locute نامگذاری شده اند، برای بازیابی پیلود نهایی از URL Pastebin بصورت پویا و ارسال اطلاعات استخراج شده به یک کانال تلگرامی تحت کنترل مهاجمان کشف شدند.
توسعه چنین پکیج هایی علاقه مهاجمان به محیط های متن باز را نشان می دهد که به آن ها اجازه می دهد تا حملات زنجیره تامین تاثیرگذاری را راه اندازی کنند که می تواند مشتریان و کاربران زیادی را مورد هدف قرار دهد.
توصیه های امنیتی
یافته ها نشان می دهد که مهاجمان علاقه زیادی به فعالیت در حوزه پکیج های متن باز دارند و قصد دارند از این طریق حملات خود را عملی کنند. لذا توصیه می شود که برنامه نویسان و افرادی که قصد استفاده از چنین پکیج هایی دارند، ابتدا از سالم بودن آن اطمینان داشته باشند.
منابع خبر
https://thehackernews.com/2023/11/48-malicious-npm-packages-found.html
- 12