В последние месяцы наблюдается Значительное увеличение распространения вредоносного ПО через репозиторий npm, наиболее широко используемый менеджер пакетов в экосистеме Node.js. Различные группы экспертов по кибербезопасности обнаружили, что за этим стоят лица, связанные с Северной Кореей. волна из 67 вредоносных пакетов, скачанный более 17.000 XNUMX раз, прежде чем был идентифицирован и удален в рамках кампании под названием «Заразительное интервью».
Стратегия нападающих заключается в том, чтобы проникнуть в открытые среды разработки, используя популярность npm, выдавая себя за легитимные проекты и внося незначительные изменения, чтобы избежать обнаружения. Разработчики и организации, использующие эти пакеты для автоматизации и ускорения рабочих процессов, могут быть непреднамеренно скомпрометированы.
Кампания «Заразительное интервью»: постоянная угроза для npm
Эта операция, получившая название «Заразное интервью», это не единичный случай, а скорее схема, поддерживаемая северокорейскими государственными группами в течение длительного времени. Одна из обнаруженных тактик включает в себя поддельные предложения о работе В первую очередь, это касается специалистов по разработке программного обеспечения. Процесс «отбора» включает в себя якобы технические тесты для кандидатов, которые на самом деле включают установку одного из скомпрометированных пакетов npm, что позволяет вредоносному ПО запускаться на их устройствах.
Конечная цель этих атак — украсть конфиденциальные данные, например учетные данные, файлы криптовалюты или информация о бизнес-системах, а также поддерживать постоянный доступ к скомпрометированным компьютерам.
Скомпрометированные пакеты и методы обмана
Среди 67 пакетов идентифицированы Существуют названия, имитирующие известные инструменты и библиотеки в экосистеме JavaScript, например, «vite-meta-plugin», «vite-postcss-tools» и «js-prettier». Зачастую разница заключается в небольшом изменении или опечатке от настоящего названия, что затрудняет обнаружение мошенничества пользователями. Подобные методы также использовались в других вредоносных кампаниях в AUR..
При установке одного из этих пакетов запускается программа. скрипт после установки Это запускает «XORIndex Loader» — вредоносный компонент, специально разработанный для обхода традиционных систем обнаружения. Этот загрузчик собирает информацию с устройства, отправляет её на серверы, контролируемые злоумышленниками (используя легитимную инфраструктуру, такую как Vercel), и получает инструкции на загрузку и выполнение новых вредоносных модулей, таких как «BeaverTail» и «InvisibleFerret».
Эта способность модульное обновление позволяет вредоносному ПО развиваться и адаптироваться к попыткам очистки, создавая динамику «ударь крота», когда злоумышленники загружают новые варианты, а исследователи обнаруживают и устраняют старые.
Техническая операция: запутывание и настойчивость
«XORIndex Loader» выделяется использованием приемов продвинутая обфускация, таких как кодирование текстовых строк с помощью XOR и ротация нескольких конечных точек управления и контроля. После сбора разнообразных данных, таких как имя пользователя, имя хоста, тип операционной системы, IP-адрес и геолокация устройства, загрузчик выполняет JavaScript-скрипты, полученные с серверов злоумышленников, используя функции eval(), что позволяет ему загружать и активировать дополнительные полезные данные без взаимодействия с пользователем. За последние месяцы также увеличилось количество обнаруженных вредоносных программ в официальных репозиториях..
Во втором сценарии главную роль играет «Бобровый Хвост», специалист по извлечь конфиденциальную информацию из криптовалютных кошельков и каталоги широко используемых расширений для браузеров. Украденные файлы сжимаются и отправляются на IP-адреса, контролируемые злоумышленниками. Затем активируется бэкдор «InvisibleFerret» для сохранения долгосрочного контроля над системой.
Эксперты обнаружили, что эти механизмы Они в равной степени затрагивают пользователей Windows, macOS и Linux., что расширяет потенциальные возможности атаки.
Рекомендации и меры защиты
Компании, которые полагаются на экосистему npm и независимые разработчики Им следует проявлять крайнюю осторожность, особенно при получении неожиданных предложений о работе или незнакомых пакетов. Исследователи советуют:
- Перед установкой пакетов проверяйте их авторство и репутацию.
- Анализируйте исходный код на предмет наличия методов обфускации или подозрительных скриптов.
- использовать инструменты анализ в реальном времени, такие как расширения для браузера или интеграции с платформами контроля версий, такими как GitHub, которые предупреждают вас о потенциальных рисках зависимостей.
- Отдавайте приоритет проектам, поддерживаемым активными сообществами и имеющими прозрачную историю.
- Запускайте новые библиотеки в «песочницах» перед их переносом в производство.
Кампания «Заразительное интервью» и появление загрузчиков, таких как XORIndex, показывают Важность усиления контроля безопасности в цепочке поставок программного обеспечения и необходимость быть бдительными к любым признакам подозрительной активности в репозиториях npm. Сотрудничество между разработчиками, платформами и экспертами по кибербезопасности будет иметь решающее значение для предотвращения этих угроз, которые в силу своего масштаба и сложности представляют собой сложную задачу для тысяч специалистов и компаний по всему миру.
