Các nhà nghiên cứu an ninh mạng đã phát hiện ra một số gói mã độc trong cơ quan đăng ký NPM nhắm mục tiêu cụ thể đến một số công ty truyền thông, hậu cần và công nghiệp nổi tiếng có trụ sở tại Đức để thực hiện các cuộc tấn công chuỗi cung ứng.
“So với hầu hết phần mềm độc hại được tìm thấy trong kho lưu trữ NPM, khối lượng này có vẻ đặc biệt nguy hiểm: một phần mềm độc hại phức tạp, rất phức tạp, hoạt động như một cửa hậu và cho phép kẻ tấn công kiểm soát toàn bộ máy bị nhiễm”, các nhà nghiên cứu từ JFrog cho biết trong một báo cáo mới.
Công ty devops cho biết, bằng chứng chỉ ra rằng đó là tác phẩm của một kẻ đe dọa tinh vi hoặc một cuộc thử nghiệm thâm nhập “rất tích cực”.
Tất cả các gói giả mạo, hầu hết trong số đó đã bị xóa khỏi kho lưu trữ, đã được truy tìm ra bốn “người bảo trì” – bertelsmannnpm, boschnodemodules, stihlnodemodules và dbschenkernpm – cho thấy nỗ lực mạo danh các công ty hợp pháp như Bertelsmann, Bosch, Stihl và DB Schenker.
Một số tên gói được cho là rất cụ thể, làm tăng khả năng đối thủ quản lý để xác định các thư viện được lưu trữ trong kho lưu trữ nội bộ của công ty với mục tiêu dàn dựng một cuộc tấn công nhầm lẫn phụ thuộc.
Các phát hiện được xây dựng dựa trên một báo cáo từ Snyk vào cuối tháng trước nêu chi tiết một trong các gói vi phạm, “gxm-reference-web-auth-server”, lưu ý rằng phần mềm độc hại đang nhắm mục tiêu vào một công ty không xác định có cùng gói trong sổ đăng ký riêng của họ.
“Những kẻ tấn công có thể đã có thông tin về sự tồn tại của một gói như vậy trong sổ đăng ký riêng của công ty”, nhóm nghiên cứu bảo mật của Snyk cho biết.
ReversingLabs, công ty chứng thực độc lập các vụ hack, cho biết rằng các mô-đun giả mạo được tải lên NPM có số phiên bản cao hơn so với các đối tác riêng của chúng để buộc các mô-đun vào môi trường mục tiêu – một dấu hiệu rõ ràng về một cuộc tấn công nhầm lẫn phụ thuộc.
Công ty an ninh mạng giải thích: “Các gói riêng được nhắm mục tiêu cho công ty vận tải và hậu cần có phiên bản 0.5.69 và 4.0.48, trong khi các phiên bản công khai, độc hại được đặt tên giống hệt nhau, nhưng sử dụng phiên bản 0.5.70 và 4.0.49”, công ty an ninh mạng giải thích.
Gọi bộ cấy là “sự phát triển trong nhà”, JFrog chỉ ra rằng phần mềm độc hại chứa hai thành phần, một ống nhỏ giọt gửi thông tin về máy bị nhiễm đến một máy chủ đo từ xa trước khi giải mã và thực thi một cửa hậu JavaScript.
Cửa hậu, mặc dù thiếu cơ chế bền bỉ, được thiết kế để nhận và thực thi các lệnh được gửi từ máy chủ điều khiển và lệnh được mã hóa cứng, đánh giá mã JavaScript tùy ý và tải tệp lên trở lại máy chủ.
Các nhà nghiên cứu cho biết: “Cuộc tấn công có mục tiêu cao và dựa trên thông tin nội bộ khó lấy. Nhưng mặt khác, “tên người dùng được tạo trong sổ đăng ký NPM không cố gắng che giấu công ty được nhắm mục tiêu.”
Phát hiện được đưa ra khi công ty an ninh mạng Check Point của Israel tiết lộ một chiến dịch đánh cắp thông tin kéo dài nhiều tháng nhắm vào ngành công nghiệp ô tô của Đức với phần mềm độc hại hàng hóa như AZORult, BitRAT. và Raccoon.
.
