Một gói NPM độc hại đã được phát hiện giả mạo là thư viện phần mềm hợp pháp cho Material Tailwind, một lần nữa cho thấy những nỗ lực của các tác nhân đe dọa nhằm phát tán mã độc trong kho phần mềm nguồn mở.
Material Tailwind là một khuôn khổ dựa trên CSS được những người bảo trì quảng cáo là “thư viện thành phần dễ sử dụng cho Tailwind CSS và Material Design.”
Karlo Zanki, nhà nghiên cứu bảo mật tại ReversingLabs, cho biết trong một báo cáo được chia sẻ với The Hacker News: “Gói Material Tailwind npm độc hại, trong khi đóng giả là một công cụ phát triển hữu ích, có một tập lệnh tự động cài đặt sau.
Tập lệnh này được thiết kế để tải xuống tệp lưu trữ ZIP được bảo vệ bằng mật khẩu có chứa tệp thực thi Windows có khả năng chạy các tập lệnh PowerShell.
Gói giả mạo, có tên material-tailwindcss, đã được tải xuống 320 lần cho đến nay, tất cả đều xảy ra vào ngày 15 tháng 9 năm 2022.
Trong một chiến thuật ngày càng trở nên phổ biến, tác nhân đe dọa dường như đã rất cẩn thận để bắt chước chức năng được cung cấp bởi gói gốc, đồng thời lén lút sử dụng tập lệnh cài đặt bài đăng để giới thiệu các tính năng độc hại.
Điều này có dạng tệp ZIP được truy xuất từ máy chủ từ xa nhúng tệp nhị phân Windows, được đặt tên là “DiagnosticsHub.exe” có khả năng nhằm chuyển tải trọng dưới dạng tiện ích chẩn đoán.
Mã cho giai đoạn 2 tải xuống
Được đóng gói trong tệp thực thi là các đoạn mã Powershell chịu trách nhiệm về lệnh và kiểm soát, giao tiếp, thao tác quy trình và thiết lập tính bền bỉ bằng cách thực hiện tác vụ đã lên lịch.
Mô-đun Material Tailwind bị đánh máy là mô-đun mới nhất trong danh sách dài các cuộc tấn công nhắm vào kho phần mềm nguồn mở như npm, PyPI và RubyGems trong những năm gần đây.
Cuộc tấn công cũng nhằm làm nổi bật chuỗi cung ứng phần mềm như một bề mặt tấn công, vốn đã nổi lên do những kẻ tấn công tác động theo tầng có thể có bằng cách phân phối mã độc hại có thể tàn phá nhiều nền tảng và môi trường doanh nghiệp trong một lần.
Các mối đe dọa từ chuỗi cung ứng cũng đã khiến chính phủ Hoa Kỳ công bố một bản ghi nhớ chỉ đạo các cơ quan liên bang “chỉ sử dụng phần mềm tuân thủ các tiêu chuẩn phát triển phần mềm an toàn” và có được “chứng nhận tự xác nhận cho tất cả phần mềm của bên thứ ba.”
“Đảm bảo tính toàn vẹn của phần mềm là chìa khóa để bảo vệ các hệ thống Liên bang khỏi các mối đe dọa và lỗ hổng bảo mật cũng như giảm nguy cơ tổng thể từ các cuộc tấn công mạng”, Nhà Trắng cho biết vào tuần trước.
.
