Kötü amaçlı NPM yardımcı paketleri, saldırganların üretim sistemlerini silmesini sağlar


Socket’in Tehdit Araştırma Ekibi, üretim sistemlerini yok edebilen yıkıcı arka fırınları yerleştirirken meşru kamu hizmetleri olarak maskelenmek üzere tasarlanmış iki kötü amaçlı NPM paketi olan Express-API-Sync ve sistem-sağlık senkronizasyonu-API’yi ortaya çıkardı.

İlişkili e -posta ANUPM019@gmail ile NPM takma adı “Botsailer” altında yayınlandı[.]Com, bu paketler geleneksel veri hırsızlığından açıkça sabotaja geçişini temsil eder.

NPM ekosisteminde yeni sabotaj dalgası

Kripto para birimi veya kimlik bilgisi hırsızlığı hedefleyen tipik kötü amaçlı yazılımların aksine, bu araçlar veri tahribatına öncelik verir ve rekabetçi sabotaj veya eyalet düzeyinde bozulmaya dayanan motivasyonları düşündürmektedir.

– Reklamcılık –
Google Haberleri

Sofistike tasarımları ve gizli yürütmeleri, bu paketleri bilmeden node.js uygulamalarına entegre eden geliştiricileri hedefleyen yazılım tedarik zinciri içinde büyüyen bir tehdidi vurgulamaktadır.

. ekspres-api-sync Bir veritabanı senkronizasyon aracı olarak pazarlanan paket, böyle bir işlevsellik sunmuyor.

NPM yardımcı paketleri
Kötü niyetli ekspres-api-sync paketi.

Bunun yerine, ilk HTTP isteğinde ekspres uygulamadaki herhangi bir uç noktaya etkinleştirilen bir arka kapı yükler.

Sabit kodlanmış “varsayılan_123” anahtarı tarafından güvence altına alınan gizli bir son nokta/API/that/thats, UNIX komutunu *rm -rf ** tetikleyerek uygulamanın çalışma dizin kaynağı kodu, yapılandırmalar ve yerel veritabanlarındaki tüm dosyaları siler.

Gizliliği, hata günlüklerini bastıran boş bir yakalama bloğu ile geliştirilir ve arka kapı kaydındaki hataların tespit edilmemesini sağlar.

Bu sırada, Sistem-Sağlık-Senkal-API Çok yönlü bir saldırı vektörü ile tehdidi artırır.

Aldatıcı işlevsellikten felaket silme işlemine kadar

Çerçeve algılama (Express, Fastify, Ham HTTP) ve fonksiyonel bir sağlık kontrol uç noktası gibi ikna edici özelliklere sahip bir sağlık izleme faydası olarak poz vererek, yıkımı açığa çıkarmadan önce geniş sunucu zekası ana bilgisayar adı, IP, ortam değişkeni ve arka uç URL’leri toplar.

Bu paket, silme komutlarını işletim sistemine göre uyarlar. RD /S /Q. Özyinelemeli dizin kaldırma için pencerelerde ve UNIX/Linux sistemlerinde *rm -rf **, platformlar arası yıkım sağlar.

Yıkıcı yeteneklerinin ötesinde, Sistem-Sağlık-Senkal-API Sabit kodlu SMTP kimlik bilgilerini kullanarak e-posta tabanlı komut ve kontrolü kullanır (SMTP aracılığıyla[.]Hostinger[.]com) keşif verilerini saldırganın e -postasına eklemek için, ANupm019@gmail[.]com.

Base64 kodlu parola “Rebel@shree1” gibi kötü gizlenmiş kimlik bilgileri, saldırganın güvenli şifreleme üzerinden basit kodlamaya olan güvenini ortaya koyuyor.

Paket, Post / ‘da birincil arka kapı dahil olmak üzere fazlalık için birden fazla uç nokta oluşturur./System /Sağlık ve Post’ta İkincil //SYS/Bakım, her biri farklı kimlik doğrulama üstbilgileri (“X-System-Key” ve “X-bakım-Key”) ve sert kodlanmış “Helloworld” anahtarı.

Bu tür tasarım seçenekleri sadece aktivasyon şansını en üst düzeye çıkarmakla kalmaz, aynı zamanda saldırganlara, yıkımı sağlamak için endişe verici bir niyet gösteren başarılı bir sömürü için ayrıntılı hata mesajları ve ipuçları sağlar.

Rapora göre, Socket’in analizi, NPM tehditlerinin evriminin altını çizerek, geliştiricileri tam uygulama ayrıcalıklarından yararlanan bu tür ara katman yazılımı tabanlı saldırıları tespit etmek için davranışsal tarama araçlarını benimsemeye çağırıyor.

Bu paketler hırsızlığa karşı sabotaja yönelik bir eğilime işaret ettiğinden, NPM ekosistemi üretim ortamlarını korumak için artan uyanıklık ve proaktif savunma mekanizmalarına kritik bir ihtiyaçla karşı karşıyadır.

Uzlaşma Göstergeleri (IOCS)

KategoriGösterge
Kötü niyetli paketlerExpress-API-Sync, Sistem-Sağlık Senkronizasyonu-API
Ağ GöstergeleriSMTP[.]Hostinger[.]com: 465, auth@corehomes[.]içinde
Tehdit Oyuncu TanımlayıcılarıNPM takma adı: Botsailer, e -posta: anupm019@gmail[.]com
Uç noktalarPost /api /this /this, al //sistem /sağlık, yazı //sistem/sağlık, posta/_/sys/bakım
Kimlik Doğrulama AnahtarlarıVarsayılan_123 (Express-api-sync), Helloworld (Sistem-Sağlık Senkronizasyonu-API)

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link