У npm-репозиторії було знайдено 48 нових шкідливих npm-пакетів з можливостями розгортання зворотних підключень (reverse shell) в скомпрометованих системах розробників.
“Ці оманливо названі для легітимного вигляду пакети містили обфускований JavaScript, призначений для впровадження зворотних підключень під час інсталяції,” – повідомила фірма Phylum, що займається захистом ланцюга постачання ПЗ.
Усі шкідливі пакети опублікував користувач під іменем hktalent (на GitHub, X). На момент написання статті 39 з них все ще доступні для завантаження.
Ланцюжок атаки запускається після встановлення пакета, через hook інсталяції в package.json, що викликає код JavaScript для впровадження reverse shell в rsh.51pwn[.]com.
“Зловмисник опублікував десятки на вигляд нешкідливих пакетів із кількома рівнями обфускації та оманливою тактикою, намагаючись запустити зворотне підключення на будь-якій машині, яка просто встановлює один із цих пакетів,” – доповіла організація Phylum.
Це стало відомо майже одразу після викриття двох пакетів, що були опубліковані в Python Package Index (PyPI) нібито для спрощення інтернаціоналізації. Вони містили шкідливий код для вилучення чутливих даних і системної інформації з додатка Telegram Desktop.
Було виявлено, що пакети під назвою localization-utils і locute отримували остаточне навантаження з динамічно створеної Pastebin URL-адреси та відправляли дані в Telegram-канал злочинця.
Ця розробка підкреслює дедалі більший інтерес зловмисних хакерів до середовищ із відкритим вихідним кодом, що дозволяє їм проводити потужні атаки на ланцюги постачання, які можуть бути націлені одночасно на декількох клієнтів.
“Ці пакети демонструють послідовні та ретельні старання уникнути виявлення статичним аналізом і візуальним оглядом за допомогою застосування різноманітних методів обфускації,” – зауважила компанія Phylum, додавши, що цей випадок “слугує ще одним нагадуванням про критичну важливість надійності залежностей в open-source екосистемах.”
Захистити від такої загрози може технологія SCA (Software Composition Analysis) в Invicti Enterprise, яка з високою точністю виявляє вразливості та надає комплексні звіти про стан безпеки.
