NPM indekse buvo rasta 60 paketų, kuriuose bandoma rinkti jautrius pagrindinio kompiuterio ir tinklo duomenis ir nusiųsti juos į nesantaiką, kurią kontroliuoja grėsmės veikėjas.
Anot „Socket“ grėsmės tyrimų komandos, paketai buvo įkelti į NPM saugyklą, pradedant gegužės 12 d. Iš trijų leidėjų paskyrų.
Kiekviename iš kenksmingų paketų yra scenarijus po įdiegimo, kuris automatiškai vykdo „NPM diegimo“ metu ir renka šią informaciją:
- Šeimininko vardas
- Vidinis IP adresas
- Vartotojo namų katalogas
- Dabartinis darbo katalogas
- Vartotojo vardas
- Sistemos DNS serveriai
Scenarijus patikrina, ar pagrindiniuose kompiuteriuose, susijusiose su debesų teikėjais, atvirkštinėmis DNS eilutėmis, bandant nustatyti, ar jis veikia analizės aplinkoje.
„Socket“ nepastebėjo antrosios pakopų naudingųjų krovinių, privilegijų eskalavimo ar nuolatinių mechanizmų pristatymo. Tačiau, atsižvelgiant į surinktų duomenų tipą, tikslinių tinklo atakų pavojus yra reikšmingas.
Pakuotės vis dar prieinamos NPM
Tyrėjai pranešė apie kenksmingus paketus, tačiau rašymo metu jie vis dar buvo prieinami NPM ir parodė kaupiamąjį atsisiuntimo skaičių – 3000. Tačiau leidybos metu nė vienas iš jų nebuvo saugykloje.
Norėdami apgauti kūrėjus juos naudoti, grėsmės veikėjui, kuris sukūrė kampaniją, buvo naudojami pavadinimai, panašūs į teisėtus rodyklės paketus, tokius kaip „Flipper-Pugins“, „React-Xterm2“ ir „Hermes-Inspector-MSGGEN“, „Bendrieji pasitikėjimą sukeliančiais vardais ir kt.
Visą 60 kenksmingų paketų sąrašą galima rasti „Socket“ ataskaitos apačioje.
Jei įdiegėte bet kurį iš jų, rekomenduojama juos nedelsdami pašalinti ir atlikti visą sistemos nuskaitymą, kad būtų galima panaikinti bet kokius infekcijos likučius.
Duomenų valytuvai NPM
Kita „Malicios“ kampanija, kurią vakar „Socket“ atidengė NPM, apėmė aštuonis kenksmingus paketus, kurie imituoja teisėtus įrankius per „Typosquatting“, tačiau gali ištrinti failus, sugadinti duomenis ir uždaryti sistemas.
Paketai, kurie buvo nukreipti į „React“, „Vue.js“, „Vite“, „Node.js“ ir „Quill Ecosystems“, pastaruosius dvejus metus egzistavo NPM, gavę 6200 atsisiuntimų.
Tai išvengė iš dalies dėl to, kad naudingos apkrovos buvo suaktyvintos remiantis kietomis koduotomis sistemos datomis ir buvo struktūrizuojamos palaipsniui sunaikinti karkaso failus, sugadintus pagrindinius „JavaScript“ metodus ir „Sabotage“ naršyklės saugojimo mechanizmus.
.jpg)
Šaltinis: lizdas
Šios kampanijos grėsmės aktorius, paskelbęs juos pavadinimu „Xuxingfeng“, taip pat išvardijo keletą teisėtų paketų, skirtų pasitikėti ir išvengti aptikimo.
Nors dabar pavojus praėjo remiantis kietomis kodiomis datomis, paketų pašalinimas yra nepaprastai svarbus, nes jų autorius galėtų įvesti atnaujinimus, kurie ateityje pakartotų jų valymo funkcijas.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
