Zainstalowałeś ten pakiet? Twoje pliki są poważnie zagrożone

Zainstalowałeś ten pakiet? Twoje pliki są poważnie zagrożone

Eksperci bezpieczeństwa z firmy Socket wykryli poważne incydenty w otwartych repozytoriach GitHub i rejestrze NPM dla Node.js. W ciągu ostatnich tygodni odkryto łącznie ponad tuzin złośliwych pakietów, w tym biblioteki w języku Go oraz dwa wyjątkowo destrukcyjne moduły dla środowiska JavaScript.

Wśród znalezionych zagrożeń znalazło się jedenaście pakietów napisanych w języku Go, które bez problemu działają zarówno w systemach Windows, jak i Linux. Po uruchomieniu inicjują one połączenie z serwerami dowodzenia, pobierają kolejne moduły z rozszerzeniami .icu i .tech, a następnie uruchamiają je w pamięci urządzenia. Drugi etap ataku pozwala m.in. na zbieranie informacji o komputerze ofiary, przechwytywanie danych z przeglądarek internetowych oraz przesyłanie tych informacji do zewnętrznych serwerów.

Badacze podkreślają, że wieloplatformowa natura języka Go sprzyja tego rodzaju atakom, ponieważ jeden pakiet może zostać uruchomiony w różnych środowiskach bez konieczności wprowadzania większych zmian. Zdecentralizowany model dystrybucji modułów dodatkowo utrudnia obronę – programiści mogą łatwo pomylić złośliwe pakiety z oryginalnymi, szczególnie gdy ich nazwy różnią się nieznacznie od popularnych, legalnych bibliotek.

Malware niszczące dane w środowisku NPM

Druga fala ataków objęła ekosystem Node.js. W repozytorium NPM wykryto dwa pakiety o nazwach naya-flore oraz nvlore-hsc, które podszywały się pod biblioteki do obsługi gniazd komunikacyjnych WhatsApp. W ciągu zaledwie miesiąca od publikacji zostały one pobrane ponad tysiąc razy.

Ich działanie okazało się wyjątkowo groźne. Po zainstalowaniu i spełnieniu określonych warunków, skrypty uruchamiały polecenie rm -rf *, skutecznie usuwając wszystkie pliki z systemu ofiary. Co więcej, moduły te zawierały również mechanizm przesyłania informacji o urządzeniu na zewnętrzny adres IP, choć w tym wypadku wywołania tej funkcji były dezaktywowane w kodzie.

Ślady jednego twórcy

Analiza Socket wskazuje, że zarówno złośliwe pakiety w Go, jak i te w NPM, mogły być dziełem jednej osoby lub grupy. Wskazuje na to identyczny styl kodu, podobne metody ukrywania szkodliwych funkcji oraz korzystanie z tego samego serwera dowodzenia.

W przypadku biblioteki naya-flore badacze odkryli w kodzie zaszyty stały token dostępu do GitHuba, który teoretycznie mógł umożliwić atakującemu nieautoryzowany dostęp do prywatnych repozytoriów. Nie jest jednak jasne, czy była to funkcja planowana, czy pozostałość po testach.

Rosnące zagrożenie w open source

Specjaliści ds. cyberbezpieczeństwa zwracają uwagę na rosnącą liczbę incydentów, w których publiczne repozytoria oprogramowania open source wykorzystywane są do ukrytej dystrybucji złośliwego kodu. Coraz częściej celem są ataki na tzw. łańcuch dostaw – strategia polegająca na infekowaniu bibliotek, które następnie trafiają do legalnych projektów. Takie podejście pozwala atakującym na dotarcie do dużej liczby ofiar pośrednio, bez konieczności atakowania ich bezpośrednio.

Motywacja w wielu przypadkach jest finansowa – uzyskanie dostępu do zasobów firm i osób prywatnych, wykradanie kryptowalut czy sprzedaż poufnych informacji. Ataki tego typu stają się coraz trudniejsze do wykrycia, a ich skutki – znacznie bardziej dotkliwe.

Złośliwe pakiety NPM zostały już usunięte z oficjalnego rejestru, jednak w przypadku bibliotek Go proces oczyszczania środowiska może być bardziej skomplikowany, ze względu na sposób ich dystrybucji.

Obserwuj nas w Google News

Pokaż / Dodaj komentarze do: Zainstalowałeś ten pakiet? Twoje pliki są poważnie zagrożone

 0
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł