Một cuộc tấn công chuỗi cung ứng quy mô lớn mới đã được quan sát nhằm vào các nhà phát triển Azure với không dưới 218 gói NPM độc hại với mục tiêu đánh cắp thông tin nhận dạng cá nhân.
“Sau khi kiểm tra thủ công một số gói này, rõ ràng đây là một cuộc tấn công có chủ đích nhằm vào toàn bộ phạm vi @azure NPM, bởi kẻ tấn công đã sử dụng tập lệnh tự động để tạo tài khoản và tải lên các gói độc hại bao gồm toàn bộ phạm vi đó”. Các nhà nghiên cứu của jfrog, Andrey Polkovnychenko và Shachar Menashe cho biết trong một báo cáo mới.
Toàn bộ tập hợp các gói độc hại đã được tiết lộ cho những người bảo trì NPM khoảng hai ngày sau khi chúng được xuất bản, dẫn đến việc chúng bị xóa nhanh chóng, nhưng không phải trước khi mỗi gói được tải xuống trung bình khoảng 50 lần.
Cuộc tấn công đề cập đến những gì được gọi là lỗi chính tả, diễn ra khi những kẻ xấu đẩy các gói giả mạo có tên bắt chước các thư viện hợp pháp đến một cơ quan đăng ký phần mềm công cộng như NPM hoặc PyPI với hy vọng lừa người dùng cài đặt chúng.
Trong trường hợp cụ thể này do công ty DevSecOps quan sát, đối thủ được cho là đã tạo ra hàng chục đối tác độc hại có cùng tên với các gói phạm vi @azure hiện có của họ nhưng không có tên phạm vi (ví dụ: @ azure / core-tracing so với core- truy tìm).
Các nhà nghiên cứu cho biết: “Kẻ tấn công đang dựa vào thực tế rằng một số nhà phát triển có thể bỏ qua tiền tố @azure một cách sai lầm khi cài đặt một gói. “Ví dụ: chạy npm install core-tracing do nhầm lẫn, thay vì lệnh đúng – npm install @ azure / core-tracing.”
Cuộc tấn công không chỉ tận dụng tên người dùng duy nhất để tải từng gói đơn lẻ lên kho lưu trữ nhằm tránh gây nghi ngờ, các thư viện chứa phần mềm độc hại còn có số phiên bản cao (ví dụ: 99.10.9), cho thấy nỗ lực thực hiện một cuộc tấn công nhầm lẫn phụ thuộc .
Nếu nhà phát triển vô tình cài đặt một trong các gói này, nó sẽ dẫn đến việc thực thi một trọng tải do thám được thiết kế để liệt kê các thư mục cũng như thu thập thông tin về thư mục làm việc hiện tại của người dùng và địa chỉ IP liên quan đến giao diện mạng và máy chủ DNS, tất cả đều exfiltrated tới một máy chủ từ xa được mã hóa cứng.
Các nhà nghiên cứu cho biết: “Do sự gia tăng vượt bậc của các cuộc tấn công vào chuỗi cung ứng, đặc biệt là thông qua các kho gói NPM và PyPI, có vẻ như cần phải xem xét kỹ lưỡng hơn và giảm thiểu”.
“Ví dụ: việc thêm cơ chế CAPTCHA khi tạo người dùng npm sẽ không cho phép những kẻ tấn công dễ dàng tạo ra một lượng người dùng tùy ý mà từ đó các gói độc hại có thể được tải lên, giúp việc xác định cuộc tấn công dễ dàng hơn.”
.
