CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Pachetele npm AsyncAPI compromise cu malware ce sustrage datele de autentificare

Sursă: https://www.bleepingcomputer.com

Cinci versiuni malițioase ale pachetelor AsyncAPI au fost publicate pe Node Package Manager (npm) în cadrul unui atac de tip supply-chain care a distribuit un trojan de acces la distanță cu capacități de sustragere a informațiilor.

Atacatorul a exploatat un flux de lucru GitHub Actions configurat necorespunzător și a încărcat pachete infectate cu trojan în namespace-ul @asyncapi, care au înregistrat un număr cumulativ de descărcări săptămânale de peste 2,25 milioane.

Ambele atacuri reprezintă compromiteri ale pipeline-ului CI/CD, nu tokenuri npm sustrase sau administratori rău intenționați, au semnalat specialiștii.

De asemenea, specialiștii explică faptul că atacatorul a trimis commit-uri sub o identitate Git provizorie și a lăsat ca fluxul de lansare real al fiecărui repository să se ocupe de publicare prin intermediul integrării GitHub OIDC trusted-publisher a npm-ului.

În acest fel, atacatorul s-a asigurat că pachetele rezultate aveau certificate SLSA legitime, care indicau faptul că acestea proveneau dintr-un flux de lucru autorizat.

Pachetele AsyncAPI malițioase încărcate pe npm sunt:

@asyncapi/generator 3.3.1;

@asyncapi/generator-helpers 1.1.1;

@asyncapi/generator-components 0.7.1;

@asyncapi/specs 6.11.2-alpha.1 și 6.11.2.

O companie în domeniul securității notează faptul că prima etapă a implementării în pachetele publicate constă într-o instrucțiune JavaScript ascunsă care, în cele din urmă, declanșează un program de descărcare atunci când fișierul infectat este importat.

Un al doilea script, care conține detalii de configurare și mediul principal de execuție, este preluat din rețeaua peer-to-peer de distribuire a conținutului IPFS și lansat ca proces ascuns.

O altă companie din domeniul securității afirmă că payload-ul din a treia etapă este un framework de malware de 92.000 de linii cu arhitectură modulară, ce asigură persistența în sistem și comunică cu serverul de comandă și control (C2) prin mai multe canale: HTTP, relee Nostr, contracte inteligente Ethereum și o rețea mesh libp2p.

Scopul său pare să fie sustragerea de informații confidențiale, printre care se numără date de autentificare, chei de autentificare, token-uri, date din browser, informații sensibile din sistemele CI/CD și din instrumentele de dezvoltare AI, portofele de criptomonede și baze de date.

În plus, codul malware-ului îi permite să descarce instrumentele Gitleaks și HackBrowserData pentru a facilita colectarea informațiilor sensibile.

Măsurile recomandate constau în fixarea fișierelor despre care se știe că sunt intacte, reactivarea fișierelor de blocare, eliminarea payload-ului NodeJS/sync.js, închiderea tuturor proceselor rău intenționate și schimbarea datelor de autentificare pe sistemele afectate.

Sursă: https://www.bleepingcomputer.com/news/security/-asyncapi-npm-packages-infected-with-credential-stealing-malware/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |
login