Security Week 2232: вредоносные npm-пакеты

Security Week 2232: вредоносные npm-пакеты

В свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.

Вредоносный код на языке Python представляет собой слегка измененную версию троянской программы Volt Stealer, код которой доступен всем желающим. Токены доступа к Discord отправляются с компьютера жертвы атакующему по протоколу HTTP. Помимо этого, в зараженных пакетах есть отдельный зловред на JavaScript, который исследователи назвали Lofy Stealer. Он также направлен на кражу данных из чат-сервиса, но работает немного сложнее — заражает файлы самого клиента Discord, чтобы затем отслеживать вход пользователя в систему, смену e-mail, включение многофакторной авторизации. Если ввести в Discord данные кредитной карты для оплаты, Lofy Stealer может перехватить и их.

Распространение вредоносного кода через репозитории, подобные npm, теоретически подпадает под определение атаки на цепочку поставок. Такие пакеты могут заразить не только разработчика программного обеспечения, но и пользователей. К счастью, известные попытки пронести троянскую программу в репозиторий npm пока не приводили к масштабным заражениям. Однако попытки происходят постоянно, причем кража учеток от Discord — довольно популярный вид спорта у кибермошенников. Например, в ноябре 2020 года были обнаружены несколько вредоносных пакетов, крадущих токены доступа к Discord из распространенных браузеров. Подробный разбор этой атаки был опубликован здесь . Там же сообщается, что вредоносный код продержался в репозитории npm пять месяцев.

Еще одно исследование , посвященное анализу зараженных npm-пакетов, было опубликовано в феврале этого года. В нем показана характерная особенность таких атак: названия вредоносных пакетов часто похожи на популярное легитимное ПО. Зловред занимался не только привычной уже кражей токенов Discord — в этом отчете приводятся интересные примеры вредоносного кода, предназначенного для атаки других мошенников.

Что еще произошло

Большая утечка данных в Твиттере: на черном рынке выставлена на продажу база данных на 5,4 миллиона пользователей. Данные были украдены с помощью уязвимости в коде соцсети. Уязвимость не позволяла напрямую красть данные, но открывала возможность так называемого скрейпинга: в ответ на запрос с адресом электронной почты или номером мобильного телефона выдавалось имя пользователя, если было совпадение. В результате удалось связать публичные ники пользователей в Твиттере с почтой или телефоном, что уже является приватными данными.

Издание Ars Technica пишет о вредоносных расширениях для популярных браузеров, которые позволяют массово выкачивать содержимое почтовых ящиков пользователей GMail. Распространялся вредоносный код предположительно с помощью методов социального инжиниринга.

Считавшийся ранее надежным алгоритм энкапсуляции криптографических ключей SIKE оказался уязвимым. Новое исследование показало метод взлома SIKE, на который требуется всего час на системе с одноядерным процессором. Для SIKE это серьезный удар, так как алгоритм ранее считался одним из претендентов на звание алгоритма шифрования данных постквантовой эпохи.

npm lofylife
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!