Security Week 2232: вредоносные npm-пакеты

Security Week 2232: вредоносные npm-пакеты

В свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.

Вредоносный код на языке Python представляет собой слегка измененную версию троянской программы Volt Stealer, код которой доступен всем желающим. Токены доступа к Discord отправляются с компьютера жертвы атакующему по протоколу HTTP. Помимо этого, в зараженных пакетах есть отдельный зловред на JavaScript, который исследователи назвали Lofy Stealer. Он также направлен на кражу данных из чат-сервиса, но работает немного сложнее — заражает файлы самого клиента Discord, чтобы затем отслеживать вход пользователя в систему, смену e-mail, включение многофакторной авторизации. Если ввести в Discord данные кредитной карты для оплаты, Lofy Stealer может перехватить и их.

Распространение вредоносного кода через репозитории, подобные npm, теоретически подпадает под определение атаки на цепочку поставок. Такие пакеты могут заразить не только разработчика программного обеспечения, но и пользователей. К счастью, известные попытки пронести троянскую программу в репозиторий npm пока не приводили к масштабным заражениям. Однако попытки происходят постоянно, причем кража учеток от Discord — довольно популярный вид спорта у кибермошенников. Например, в ноябре 2020 года были обнаружены несколько вредоносных пакетов, крадущих токены доступа к Discord из распространенных браузеров. Подробный разбор этой атаки был опубликован здесь . Там же сообщается, что вредоносный код продержался в репозитории npm пять месяцев.

Еще одно исследование , посвященное анализу зараженных npm-пакетов, было опубликовано в феврале этого года. В нем показана характерная особенность таких атак: названия вредоносных пакетов часто похожи на популярное легитимное ПО. Зловред занимался не только привычной уже кражей токенов Discord — в этом отчете приводятся интересные примеры вредоносного кода, предназначенного для атаки других мошенников.

Что еще произошло

Большая утечка данных в Твиттере: на черном рынке выставлена на продажу база данных на 5,4 миллиона пользователей. Данные были украдены с помощью уязвимости в коде соцсети. Уязвимость не позволяла напрямую красть данные, но открывала возможность так называемого скрейпинга: в ответ на запрос с адресом электронной почты или номером мобильного телефона выдавалось имя пользователя, если было совпадение. В результате удалось связать публичные ники пользователей в Твиттере с почтой или телефоном, что уже является приватными данными.

Издание Ars Technica пишет о вредоносных расширениях для популярных браузеров, которые позволяют массово выкачивать содержимое почтовых ящиков пользователей GMail. Распространялся вредоносный код предположительно с помощью методов социального инжиниринга.

Считавшийся ранее надежным алгоритм энкапсуляции криптографических ключей SIKE оказался уязвимым. Новое исследование показало метод взлома SIKE, на который требуется всего час на системе с одноядерным процессором. Для SIKE это серьезный удар, так как алгоритм ранее считался одним из претендентов на звание алгоритма шифрования данных постквантовой эпохи.

npm lofylife
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!