Ngày 10 tháng 4 năm 2023Ravie LakshmananBảo mật phần mềm / JavaScript
Các tác nhân đe dọa đang tràn ngập kho lưu trữ gói mã nguồn mở npm với các gói không có thật thậm chí còn dẫn đến một cuộc tấn công từ chối dịch vụ (DoS) trong thời gian ngắn.
Jossef Harush Kadouri của Checkmarx cho biết trong một báo cáo được công bố vào tuần trước: “Những kẻ đe dọa tạo ra các trang web độc hại và xuất bản các gói trống có liên kết đến các trang web độc hại đó, lợi dụng danh tiếng tốt của hệ sinh thái nguồn mở trên các công cụ tìm kiếm.
“Các cuộc tấn công đã gây ra tấn công từ chối dịch vụ (DoS) khiến NPM không ổn định với các lỗi ‘Dịch vụ không khả dụng' lẻ tẻ.”
Mặc dù các chiến dịch tương tự gần đây đã được quan sát thấy đang lan truyền các liên kết lừa đảo, làn sóng mới nhất đã đẩy số lượng phiên bản gói lên 1,42 triệu, một mức tăng đáng kể so với khoảng 800.000 gói được phát hành vào npm.
Kỹ thuật tấn công tận dụng thực tế là các kho lưu trữ nguồn mở được xếp hạng cao hơn trên kết quả của công cụ tìm kiếm để tạo các trang web giả mạo và tải lên các mô-đun npm trống có liên kết đến các trang web đó trong tệp README.md.
Harush Kadouri giải thích: “Vì các hệ sinh thái nguồn mở có uy tín cao trên các công cụ tìm kiếm, bất kỳ gói nguồn mở mới nào và các mô tả của chúng đều kế thừa danh tiếng tốt này và trở nên được lập chỉ mục tốt trên các công cụ tìm kiếm, khiến chúng dễ nhìn thấy hơn đối với những người dùng cả tin”.
Do toàn bộ quá trình được tự động hóa nên khối lượng tải được tạo ra do xuất bản nhiều gói đã dẫn đến việc NPM thỉnh thoảng gặp sự cố về độ ổn định cho đến cuối tháng 3 năm 2023.
Checkmarx chỉ ra rằng khi có thể có nhiều tác nhân đứng sau hoạt động, mục tiêu cuối cùng là lây nhiễm phần mềm độc hại vào hệ thống của nạn nhân như RedLine Stealer, Glupteba, SmokeLoader và các công cụ khai thác tiền điện tử.
Các liên kết khác đưa người dùng qua một loạt trang trung gian, cuối cùng dẫn đến các trang thương mại điện tử hợp pháp như AliExpress với ID giới thiệu, giúp họ kiếm được lợi nhuận khi nạn nhân mua hàng trên nền tảng. Danh mục thứ ba liên quan đến việc mời người dùng Nga tham gia kênh Telegram chuyên về tiền điện tử.
Harush Kadouri cho biết: “Cuộc chiến chống lại các tác nhân đe dọa đầu độc hệ sinh thái chuỗi cung ứng phần mềm của chúng tôi tiếp tục đầy thách thức, khi những kẻ tấn công liên tục thích nghi và gây bất ngờ cho ngành bằng các kỹ thuật mới và bất ngờ”.
Để ngăn chặn các chiến dịch tự động như vậy, Checmarx đã khuyến nghị npm kết hợp các kỹ thuật chống bot trong quá trình tạo tài khoản người dùng.
