Ny Sårbarhet i npm

En nyligen publicerad rapport från cybersecurity-företaget JFrog har blottlagt en ny och sofistikerad attackmetod som cyberkriminella använder för att rikta in sig på softwareutvecklare. Attacken utnyttjar en teknik som kallas 'package impersonation', där skadliga paket laddas upp till plattformen npm (Node Package Manager) och presenteras som legitima verktyg för att locka utvecklare att installera dem av misstag.

Enligt JFrog:s undersökning har tre kopplade, skadliga paket laddats upp till npm-registret för att få utvecklare att installera dem felaktigt. Det primära, falska paketet heter 'postcss-minify-selector-parser'. Det ser ut identiskt med det mycket populära, legitima verktyget 'postcss-selector-parser', som har över 150 miljoner nedladdningar varje vecka.

Eftersom det falska verktyget använder liknande nyckelord och listar det genuina paketet som en beroende, går det lätt för det att undvika grundläggande kodgranskningar.JFrog upptäckte att en npm-använd, 'abdrizak', publicerade koden tillsammans med två andra, relaterade paket: 'postcss-minify-selector' och 'aes-decode-runner-pro'.

Multi-Stage Infektion

När en utvecklare importerar det falska paketet läser koden omedelbart en krypterad textblock i en 'defaults'-fil istället för att utföra normala parsingsfunktioner. Paketet dekrypterar denna block med AES-256-GCM, vilket kör en JavaScript-dropper som sparar och kör en PowerShell-skript, 'settings.ps1'.

Denna PowerShell-skript laddar ner en fil från 'nvidiadriver.net', ett domän som är byggt för att se ut som en officiell grafikdrivarsida. Den nedladdade ZIP-arkivet, dismaskat som en Windows-patch, packas ut i det lokala temporära mappen.

En VBScript-fil, 'update.vbs', startar en dold Python-miljö och kör kompilerade utvidgningsmoduler som 'audiodriver.pyd' och 'command.pyd', och startar sedan en Remote Access Trojan (RAT), som sedan ansluter till en C2-server (Command & Control).

Stöld av Sparade Data

Trojanen etablerar permanent åtkomst på datorn via Windows Registry run key under HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Den kontrollerar om den körs i ett virtuellt maskinsystem för att undvika säkerhetsanalytiker, kör bakgrundsshell-kommandon och hanterar direkt filöverföringar.

Det primära målet för attacken är Google Chrome. En modul, 'auto.pyd', söker efter sparade inloggningsdatabaser och Chrome-profilsökvägar. Den innehåller specifika funktioner för att kringgå nyare Chrome app-gränser med kryptering för att extrahera sparade användarnamn och lösenord direkt.

JFrog rekommenderar att utvecklare tar bort dessa tre paket, söker efter filer med namn 'winPatch', '.store' eller '.host' i sina system temporära mappar, och ändrar alla lösenord som lagras i sina webbläsare.

”Detta fall visar hur ett litet parser-liknande paket kan dölja en multi-stage Windows-payload samtidigt som det ser relaterat till legitima byggverktyg med massiva veckovisa användningar. För försvarare är den viktigaste lektionen att behandla liknande byggberoenden som potentiella leveransmekanismer, inte bara som enskilda ‘naming noise’”, slår forskarna fast.