Güvenlik araştırmacıları, iddia ettiklerinden çok daha fazlasını yapan iki NPM paketi belirlediler. Sistem izleme ve veri senkronizasyonu için yardımcı programlar olarak gizlenen bu paketler, bir geliştiricinin uygulamasındaki tüm dosyaları talep üzerine uzaktan silebilen yıkıcı arka kapı tanıtmaktadır.
Socket’in tehdit araştırma ekibi kötü niyetli paketleri ortaya çıkardı, express-api-sync Ve system-health-sync-apiher ikisi de NPM hesabı “Botsailer” altında yayınlandı. İsimler zararsız işlevsellik önerirken, temel kod çok daha karanlık bir hikaye anlatıyor.
Tehlikeli bir kılık değiştirme
Hackread.com ile paylaşılan şirketin teknik raporuna göre, express-api-sync Paket kendisini veritabanlarını senkronize etmek için basit bir araç olarak sunar. Ancak bir şeyi senkronize etmek yerine, gizli bir HTTP sonrası son nokta enjekte eder (/api/this/that) onu içeren herhangi bir ekspres uygulamaya.
Sabit kodlanmış “varsayılan_123” anahtarı ile tetiklendikten sonra Unix komutunu yürütür rm -rf *uygulamanın geçerli dizini, kaynak kodu, yapılandırmalar, kullanıcı yüklemeleri ve hatta yerel veritabanlarındaki her şeyi etkili bir şekilde silme.
Bu saldırı sessizce etkinleştirilir. Kütük yok, konsol çıkışı yok ve boş bir hata işleyicisi sayesinde, rota kaydı başarısız olup olmadığı belirtisi yok. Çoğu geliştirici çok geç olana kadar olağandışı bir şey fark etmez.
Sofistike tehdit
Express-api-sync yıkıcı olsa da, sistem-sağlık senkronizasyonu-api işleri daha da ileri götürüyor. Gerçek bir sistem monitörü gibi yapılandırılmış, işleyen bir sağlık kontrolü, SMTP entegrasyonu ve Express, Saptify ve hatta ham HTTP sunucuları için dinamik destek ile tamamlanmıştır.
Yüzeyin altında, sunucu verileri, ana bilgisayar adı, IP, Process ID ve çevre karması toplar ve e -posta yoluyla sabit kodlanmış bir adrese gönderir: anupm019@gmailcom. Saldırganların sunucu altyapısını haritalamasına yardımcı olan arka uç URL’lerini bile kaydeder.
Bu paket platformlar arası dosya silinmesini destekler: rm -rf * Unix tabanlı sistemler için ve rd /s /q . Windows için, yalnızca dosyaları silmeyen bir komut için geçerli dizini tamamen siler.
Yerleşik komut ve kontrol
Arka kapı, iki sonrası uç nokta ile tetiklenebilir (/_/system/health Ve /_/sys/maintenance), her biri gizli anahtarı “Helloworld” gerektirir. Geliştiriciler, yapılandırmanın özelleştirilebilir olduğunu düşünebilir, ancak varsayılan değerler, ayarlar açıkça geçersiz kılınmadıkça saldırganın erişiminin çalışmasını sağlar.
E -posta gizli kontrol kanalı olarak kullanılır. SMTP kimlik bilgileri, baz64 kodlama ile maskelenen ancak kolayca kod çözüldüğü pakete pişirilir. Sistem başladığında, kötü amaçlı yazılım posta sunucusuna bağlantıyı kontrol eder. Başarılı olursa, saldırganın komut kanalının etkin olduğunu doğrular.
Perde arkasında nasıl çalışır
- Keşif: Bir GET isteği
/_/system/healthsistem bilgilerini döndürür. - Kuru çalışma (isteğe bağlı): Yapılandırılmışsa, saldırganlar hasara neden olmadan test edebilir.
- Yıkım: Doğru tuşa sahip bir posta isteği tam dosya silinmesini tetikler.
- Bildiri: E -posta uyarıları ayrıntılı sunucu parmak izleri ve arka uç URL’leri ile gönderilir.
Paket, saldırganların anahtarların ne zaman yanlış olduğunu anlamalarına yardımcı olmak için yanıtları bile ayarlar ve uygun kullanıma ilişkin ipuçları sunar.
Tedarik zinciri saldırıları çoğu veri veya kripto para çalmaya odaklanır. Bu iki paket yıkımı hedefliyor. Bu motivasyonda, kardan sabotaja kadar bir değişim. Saldırganlar artık sistemleri çevrimdışı almak, altyapı Intel toplamak veya rakipleri bozma ile daha fazla ilgileniyor gibi görünüyor. Ve uykuda oturabilen, bilgi toplayabilen ve en az beklendiğinde etkinleştirilebilen araçlar oluşturuyorlar.
Middleware kullanımı bunu daha da tehlikeli hale getirir. Middleware her istek üzerinde çalışır ve genellikle uygulama içsellerine tam erişime sahiptir. Bu paketler bu güvenden yararlanır ve tüm üretim ortamını yok etme gücü ile rotaları sessizce yerleştirir.
Saviynt Baş Güven Sorumlusu Jim Routh, “Bu, daha sonra gömüldükten sonra bir arka kapıyı etkinleştiren iyi huylu görünecek şekilde tasarlanmış kötü amaçlı yazılımdan ödün verilen bir durumdur. İşletmeler için anahtar, çalışanlar ve müteahhitler de dahil olmak üzere yazılım yapım sürecine erişimi olan herkes için kimlik erişim yönetimini geliştirmektir” dedi.
Geliştiriciler ve DevOps ekipleri bağımlılıklarını derhal gözden geçirmelidir. Sadece iddia ettiklerini değil, paketlerin ne yaptığını inceleyen davranışsal tarama araçlarını kullanın. Geleneksel tarayıcılar bu tehditleri kaçırıyor çünkü çalışma zamanı davranışına bakmıyorlar.