Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loạt gói độc hại mới trong sổ đăng ký gói npm được thiết kế để lấy cắp cấu hình Kubernetes và khóa SSH từ các máy bị xâm nhập đến máy chủ từ xa.
Sonatype cho biết họ đã phát hiện ra 14 gói npm khác nhau cho đến nay: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-comComponents/mui, @dynamic-form-comComponents/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable và tỏa sáng.
Công ty bảo mật chuỗi cung ứng phần mềm cho biết : “Các gói này […] cố gắng mạo danh các thư viện và thành phần JavaScript, chẳng hạn như plugin ESLint và công cụ TypeScript SDK” . “Tuy nhiên, sau khi cài đặt, người ta thấy nhiều phiên bản của gói đang chạy mã bị xáo trộn để thu thập và lấy các tệp nhạy cảm từ máy mục tiêu.”
Cùng với cấu hình Kubernetes và khóa SSH, các mô-đun cũng có khả năng thu thập siêu dữ liệu hệ thống như tên người dùng, địa chỉ IP và tên máy chủ, tất cả đều được truyền đến miền có tên app.threatest[.]com.
Tiết lộ này được đưa ra hơn một tuần sau khi Sonatype phát hiện các gói npm giả mạo khai thác một kỹ thuật được gọi là nhầm lẫn phụ thuộc để mạo danh các gói nội bộ được các nhà phát triển PayPal Zettle và Airbnb sử dụng như một phần của thử nghiệm nghiên cứu đạo đức.
Điều đó cho thấy, các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các cơ quan đăng ký nguồn mở như npm và PyPI bằng các kẻ tấn công mật mã, kẻ đánh cắp thông tin và phần mềm độc hại mới khác để xâm phạm hệ thống của nhà phát triển và cuối cùng đầu độc chuỗi cung ứng phần mềm.
Trong một trường hợp được Phylum nhấn mạnh vào đầu tháng này, một mô-đun npm có tên hardhat-gas-report vẫn hoạt động bình thường trong hơn 8 tháng kể từ ngày 6 tháng 1 năm 2023, trước khi nhận được hai bản cập nhật liên tiếp vào ngày 1 tháng 9 năm 2023, để bao gồm phần mềm độc hại. JavaScript có khả năng lấy các khóa riêng của Ethereum được sao chép vào bảng nhớ tạm đến máy chủ từ xa.
Công ty cho biết: “Phương pháp nhắm mục tiêu này cho thấy sự hiểu biết sâu sắc về bảo mật tiền điện tử và cho thấy kẻ tấn công đang nhắm tới việc nắm bắt và lấy cắp các khóa mật mã nhạy cảm để truy cập trái phép vào ví Ethereum hoặc các tài sản kỹ thuật số được bảo mật khác ” .
Một trường hợp khác về nỗ lực tấn công chuỗi cung ứng liên quan đến gói npm xảo quyệt có tên là gcc-patch giả dạng là trình biên dịch GCC riêng biệt nhưng thực chất chứa chấp một công cụ khai thác tiền điện tử "ngầm khai thác sức mạnh tính toán của các nhà phát triển vô tội, nhằm mục đích thu lợi từ chi phí của họ."
Hơn nữa, các chiến dịch như vậy đã đa dạng hóa để mở rộng các hệ sinh thái Javascript (npm), Python (PyPI) và Ruby (RubyGems), với các tác nhân đe dọa tải lên một số gói có khả năng thu thập và lọc dữ liệu, đồng thời theo dõi nó bằng cách xuất bản các phiên bản mới mang tải trọng độc hại. .
Chiến dịch đặc biệt nhắm mục tiêu đến người dùng macOS của Apple, cho thấy phần mềm độc hại trong kho gói nguồn mở không chỉ ngày càng trở nên phổ biến mà còn nhắm mục tiêu vào các hệ điều hành khác ngoài Windows.
Phylum lưu ý trong một phân tích: “Tác giả của các gói này đang tổ chức một chiến dịch rộng rãi chống lại các nhà phát triển phần mềm” . "Mục tiêu cuối cùng của chiến dịch này vẫn chưa rõ ràng."