Çalışma zamanı JavaScript Diffuse.js çevresel düğümü için yazılım paketleri için tedarik zincirine büyük bir saldırı Pazartesi günü keşfedildi. Forvet, Parsel Yöneticisi'nin (daha önce düğüm paket yöneticisi) NPM'si aracılığıyla çok sayıda popüler pakete zararlı kodu tanıttı. Şimdiye kadar NPM'de başarılı olan en büyük saldırı olması muhtemeldir.
QIX geliştirici repertuarından etkilenen yaklaşık 20 paket bilinmektedir ve bu da haftada toplam iki milyardan fazla indirilir (!). Bu tek başına düğümün çoğuna saldırı var. Ayrıca, diğer geliştiricilerin paketlerinin kötü amaçlı yazılım tarafından kontamine edilmiş olabileceğine dair doğrulanmamış bir gösterge de vardır.
JD Staerk'e göre, daha önce keşfedilen ve incelenen kötü amaçlı yazılım, kurbanın web tarayıcısındaki verileri kesmek ve manipüle etmek için bazı tarayıcı rutinlerini manipüle etti. Bu hem klasik ağı hem de programlama arayüzü kaçakçılığını (API) etkiler. Buna ek olarak, rutinler muhtemelen kripto para birimi Sportsemonnaies (cüzdan) için kurulmuş tarayıcı uzantılarında değiştirilir.
Kriptodie
Saldırganın amacı, görünüşe göre Biitcoin kripto para birimlerinin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (Sol) ve Tron (TRX) biriminin çalınmasıdır. Kötü amaçlı yazılım, cüzdan adresleri gibi görünen ve meşru adreslerin yerini alan ve muhtemelen saldırgan tarafından kontrol edilen diğer adreslerle değiştirmeyi bekler.
Mağdur, tarayıcıdaki normal bir web sayfasından bir transfer yaptırırsa, kötü amaçlı yazılım hedef adresini yanlış biriyle değil, sadece bir tane değil, karakter zinciri çok benzer görünen biriyle değiştirir. Bu amaçla, saldırgan mümkün olan en düşük Levenhtein mesafesine dayanan bir algoritma kullanır. Bu, insan gözlerinin hedef adresteki farklılıkları tanımasını zorlaştırır.
Mağdur portföy tarayıcısının bir uzantısını kullanıyorsa, Malizia kodu imzalamadan önce aktarımı yakalar ve transfer alıcısının adresini RAM'e değiştirir. Falsified işlem daha sonra onay için portföye aktarılacaktır. Kullanıcı yakından bakmazsa, hileli aktarımı imzalar.
Mızmızlık
QIX geliştiricisi (Josh Junon) kazayı doğruladı ve hemen temizlenmeye başladı. Pazartesi sabahı erken bir talep vardı [email protected] On iki ay boyunca değişmeden kaldıkları için iki faktörlü kimlik doğrulama için ayarlarını aldı. Ne yazık ki, NIST SP 800-63b (Bölüm 3.1.1.2) gibi uygulanabilir güvenlik yönergeleri sayaç gerçekleştirmesine rağmen, periyodik şifre değişiklikleri veya benzeri önlemler reçete eden çevrimiçi hizmetler vardır. Erişim verilerindeki değişiklikler, yalnızca daha önce kullanılan verilerin tehlikeye atıldığını veya başka bir şekilde güvenli olmadığını varsaymak için bir neden varsa zorlanmalıdır, örneğin şifreler çok kısa.
Forvet, “inanılmaz gerçek” emri NPM hesabının Çarşamba günü kapatılacağı tehdidiyle bağladı. Junon itaat etti ve tuzak havalandı. “Daha dikkatli olmalıydım, ama kaydım. Gerçekten üzgünüm, utanç verici”, geliştirici kazayı gizlemiyor.
İyi bilinen ilgili paketler
Güvenlik şirketi It Aikido'ya göre, bu paketler ilgileniyor:
ansi-regexansi-stylesbackslashchalkchalk-templatecolor-convertcolor-namecolor-stringdebugerror-exhas-ansiis-arrayishsimple-swizzleslice-ansistrip-ansisupports-colorsupports-hyperlinkswrap-ansi
Socket.dev ayrıca pakete sahiptir proto-tinker-wc Tamamlamak. Birkaç paket QIX'i en büyük indirme numarasına sahip NPM geliştiricisi Sindre Sorhus ile birlikte yönetiyor. Saldırgan, dağıtımlarını hızlandırmak için son paketleri en son paketlere atadı. Kod örtüldü ve Aikido'ya göre, işaretler ve görünmez kod, analizi daha zor hale getirmek için farklı yönlerde (soldan sağa ve sağdan sağa) yer alıyor. Ünlü kötü amaçlı yazılım paketleri NPM stokundan kaldırıldı. Bununla birlikte, şu anda önceki sürümlerin bile enfekte olduğu veya diğer geliştiricilerin NPM hakkındaki raporlarının ilgilendiği hariç tutulamaz. Ve elbette, çok sayıda sistemin daha önce enfekte olmuş paketleri indirmiş ve kurmuş olması muhtemeldir.
(DS)
Bir yanıt yazın