De siste månedene har det vært en Betydelig økning i distribusjon av skadelig programvare gjennom npm-depotet, den mest brukte pakkebehandleren i Node.js-økosystemet. Ulike team av cybersikkerhetseksperter har oppdaget at aktører knyttet til Nord-Korea står bak en bølge av 67 ondsinnede pakker, lastet ned mer enn 17.000 XNUMX ganger før den ble identifisert og fjernet, som en del av kampanjen kjent som «Smittsomt intervju».
Angripernes strategi er å infiltrere åpne utviklingsmiljøer ved å utnytte populariteten til npm, utgi seg for å være legitime prosjekter og bruke subtile endringer for å unngå oppdagelse. Utviklere og organisasjoner som er avhengige av disse pakkene for å automatisere og akselerere arbeidsflytene sine, kan utilsiktet bli kompromittert.
Kampanjen «Smittsomt intervju»: Den vedvarende trusselen på npm
Denne operasjonen, kalt «Smittsomt intervju», det er ikke en engangshendelse, men snarere en plan som ble opprettholdt over tid av nordkoreanske statsgrupper. En av taktikkene som ble oppdaget involverer falske jobbtilbud primært rettet mot programvareutviklere. «Utvalgsprosessen» inkluderer angivelig tekniske tester for kandidater, som faktisk innebærer å installere en av de kompromitterte npm-pakkene, slik at skadevaren kan kjøre på enhetene deres.
Det endelige målet med disse angrepene er stjele sensitive data, for eksempel legitimasjon, kryptovalutafiler eller informasjon om forretningssystemer, og opprettholde vedvarende tilgang til kompromitterte datamaskiner.
Kompromitterte pakker og bedragteknikker
Blant de 67 pakker identifisert Det finnes navn som etterligner kjente verktøy og biblioteker i JavaScript-økosystemet, som for eksempel «vite-meta-plugin», «vite-postcss-tools» og «js-prettier». Ofte er forskjellen en liten variasjon eller skrivefeil fra det faktiske navnet, noe som gjør det vanskelig for brukere å oppdage svindelen. Denne typen teknikker har også blitt brukt i andre skadevarekampanjer i AUR.
Når du installerer en av disse pakkene, en skript etter installasjon Dette starter «XORIndex Loader», en ondsinnet komponent som er spesielt utviklet for å unngå tradisjonelle deteksjonssystemer. Denne lasteren samler inn informasjon fra enheten, sender den til servere kontrollert av angriperne (ved hjelp av legitim infrastruktur som Vercel), og mottar instruksjoner om å laste ned og kjøre nye ondsinnede moduler, som «BeaverTail» og «InvisibleFerret».
Denne evnen til modulær oppgradering lar skadelig programvare utvikle seg og tilpasse seg oppryddingsforsøk, noe som skaper en «whack-a-mole»-dynamikk der angripere laster opp nye varianter etter hvert som forskere oppdager og eliminerer eldre.
Teknisk drift: forvirring og utholdenhet
«XORIndex Loader» skiller seg ut for sin bruk av teknikker avansert forvirring, som XOR-koding av tekststrenger og rotering av flere kommando- og kontroll-endepunkter. Etter å ha samlet inn data så forskjellige som brukernavn, vertsnavn, operativsystemtype, IP-adresse og enhetens geolokalisering, kjører lasteren JavaScript-skript mottatt fra angripernes servere ved hjelp av "eval()"-funksjoner, slik at den kan laste ned og aktivere ytterligere nyttelaster uten brukerinteraksjon. Deteksjon av skadelig programvare i offisielle databaser har også økt de siste månedene..
Det andre scenarioet har «BeaverTail» i hovedrollen, en spesialist i hente ut sensitiv informasjon fra kryptovaluta-lommebøker og kataloger med mye brukte nettleserutvidelser. De stjålne filene komprimeres og sendes til IP-adresser kontrollert av kriminelle. Bakdøren «InvisibleFerret» aktiveres deretter for å opprettholde langsiktig kontroll over systemet.
Eksperter har funnet ut at disse mekanismene De påvirker Windows-, macOS- og Linux-brukere likt., noe som utvider angrepets potensielle omfang.
Anbefalinger og forsvarstiltak
Selskaper som er avhengige av npm-økosystemet og uavhengige utviklere De bør utvise ekstrem forsiktighet, spesielt når de mottar uventede jobbtilbud eller ukjente pakker. Forskere anbefaler:
- Bekreft forfatterskapet og omdømmet til pakker før du installerer dem.
- Analyser kildekoden for obfuskeringsteknikker eller mistenkelige skript.
- Bruk verktøy sanntidsanalyse, for eksempel nettleserutvidelser eller integrasjoner med versjonskontrollplattformer som GitHub, som varsler deg om potensielle avhengighetsrisikoer.
- Prioriter bruken av prosjekter som vedlikeholdes av aktive lokalsamfunn og med en transparent merittliste.
- Kjør nye biblioteker i sandkasser før du går over til produksjon.
Kampanjen «Contagious Interview» og fremveksten av lastere som XORIndex viser Viktigheten av å styrke sikkerhetskontrollene i programvareforsyningskjeden og behovet for å være oppmerksom på tegn på mistenkelig aktivitet i npm-repositorier. Samarbeid mellom utviklere, plattformer og cybersikkerhetseksperter vil være avgjørende for å forhindre disse truslene, som på grunn av omfanget og sofistikasjonen representerer en utfordring for tusenvis av fagfolk og selskaper over hele verden.
