Pazartesi günü yaygın JavaScript Çalışma Zamanı Çevre Node.js için yazılım paketleri için tedarik zincirine büyük bir saldırı keşfedildi. Saldırgan, Parsel Manager NPM (eski adıyla Düğüm Paket Yöneticisi) aracılığıyla çok sayıda popüler pakete zararlı kod tanıttı. Şimdiye kadar NPM'ye en büyük başarılı saldırı olması muhtemeldir.
Geliştirici QIX repertuarından etkilenen yaklaşık 20 paket bilinmektedir, bu da haftada toplam iki milyardan fazla indirilir (!). Bu tek başına Node.js evreninin büyük bölümlerine saldırı var. Ayrıca, diğer geliştiricilerin paketlerinin kötü amaçlı yazılımlarla kirlenmiş olabileceğine dair doğrulanmamış bir gösterge de vardır.
JD Staerk'e göre, daha önce keşfedilmiş ve incelenmiş kötü amaçlı yazılım, kurbanın web tarayıcısındaki verileri kesmek ve manipüle etmek için belirli tarayıcı rutinlerini manipüle etti. Bu, hem klasik ağ trafiğini hem de programlama arayüzlerinden (API) (API) vurur. Buna ek olarak, kripto para birimi Sportsemonnaies (cüzdanlar) için muhtemelen kurulmuş tarayıcı uzantılarında rutinler değiştirilir.
Kriptododie
Saldırganın amacı, görünüşe göre Bitcoin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (Sol) ve Tron (TRX) kripto para birimlerinin çalınmasıdır. Kötü amaçlı yazılım, cüzdan adreslerine benzeyen dizeleri bekler ve meşru adresleri muhtemelen saldırgan tarafından kontrol edilen diğer adreslerle değiştirir.
Mağdur, tarayıcıdaki normal bir web sayfası aracılığıyla bir transfer başlattıysa, kötü amaçlı yazılım hedef adresini yanlış biriyle değiştirir – ancak sadece herhangi bir değil, karakter zinciri çok benzer görünen bir tane. Bu amaçla, saldırgan mümkün olan en düşük Levenshtein mesafesine dayanan bir algoritma kullanır. Bu, insan gözlerinin hedef adresteki farklılıkları tanımasını zorlaştırır.
Mağdur bir cüzdan tarayıcı uzantısı kullanıyorsa, kötülük kodu imzalamadan önce aktarımı yakalar ve RAM'deki transfer alıcısının adresini değiştirir. Falsified işlem daha sonra onay için cüzdana aktarılacaktır. Kullanıcı yakından bakmazsa, hileli aktarımı imzalar.
Mızmızlık
Geliştirici Qix (Josh Junon) olayı doğruladı ve hemen temizlenmeye başladı. Pazartesi sabahı erken saatlerde bir talebi vardı [email protected] On iki aydır değişmedikleri için iki faktörlü kimlik doğrulama ayarlarını aldı. Ne yazık ki, NIST SP 800-63b (Bölüm 3.1.1.2) gibi geçerli güvenlik yönergeleri, sayaçla birlikte olmasına rağmen, periyodik şifre değişiklikleri veya benzeri önlemler reçete eden çevrimiçi hizmetler vardır. Erişim verilerindeki değişiklikler, yalnızca daha önce kullanılan verilerin tehlikeye atıldığını veya başka bir şekilde güvensiz olduğunu varsaymak için zorlanmalıdır, örneğin şifreler çok kısa olduğu için.
Saldırgan, “şok edici gerçek” görünümlü sırayı NPM hesabının Çarşamba günü kapatılacağı tehdidiyle bağladı. Junon itaat etti ve tuzak koptu. “Daha dikkatli olmalıydım, ama kaydım. Gerçekten üzgünüm, bu utanç verici,” geliştirici yanlışlığı gizlemiyor.
İyi bilinen etkilenen paketler
BT güvenlik şirketi Aikido'ya göre, bu paketler etkileniyor:
ansi-regexansi-stylesbackslashchalkchalk-templatecolor-convertcolor-namecolor-stringdebugerror-exhas-ansiis-arrayishsimple-swizzleslice-ansistrip-ansisupports-colorsupports-hyperlinkswrap-ansi
Socket.dev ayrıca pakete sahiptir proto-tinker-wc yapıldı. Paketlerin birçoğu QIX'i en büyük indirme numarasına sahip NPM geliştiricisi Sindre Sorhus ile birlikte yönetiyor. Saldırgan, dağıtımlarını hızlandırmak için en son paketleri en son paketlere atadı. Kod örtüldü ve Aikido'ya göre, analizi daha zor hale getirmek için görünmez işaretler ve kod farklı yönlerde (soldan sağa ve sağdan sağa) yer alıyor. İyi bilinen kötü amaçlı yazılım paketleri şimdi NPM stokundan kaldırılmıştır. Bununla birlikte, şu anda eski sürümlerin de enfekte olduğu veya NPM'deki diğer geliştirici hesaplarının etkilendiği göz ardı edilemez. Ve elbette, çok sayıda sistemin enfekte olmuş paketleri daha önce indirmiş ve kurmuş olması muhtemeldir.
(DS)
Bir yanıt yazın