Северокорейские хакеры и вредоносные пакеты
Американская кибербезопасная компания сообщает, что северокорейские хакеры превратили одну из самых широко используемых библиотек программного обеспечения в мире в систему доставки вредоносного ПО. В отчете, опубликованном на прошлой неделе, исследователи компании Socket, занимающейся безопасностью цепочки поставок, сообщили о более чем 300 пакетах вредоносного кода, загруженных в реестр npm — центральный репозиторий, используемый миллионами разработчиков для обмена и установки программного обеспечения на JavaScript.
Методы атаки
Эти пакеты, представляющие собой небольшие фрагменты повторно используемого кода, использовались в различных приложениях, от веб-сайтов до крипто-приложений, и были разработаны так, чтобы выглядеть безобидными. Однако после загрузки они устанавливали вредоносное ПО, способное красть пароли, данные браузера и ключи криптовалютных кошельков. Socket заявила, что кампания, которую она называет «Зараженное Собеседование», является частью сложной операции, проводимой спонсируемыми государством северокорейскими хакерами, которые выдают себя за рекрутеров технологий, чтобы нацелиться на разработчиков, работающих в области блокчейна, Web3 и смежных отраслях.
Почему это важно
npm по сути является основой современного веба. Компрометация этого репозитория позволяет злоумышленникам внедрять вредоносный код в бесчисленные downstream-приложения. Эксперты по безопасности предупреждали на протяжении многих лет, что такие атаки «в цепочке поставок программного обеспечения» являются одними из самых опасных в киберпространстве, поскольку они распространяются незаметно через легитимные обновления и зависимости.
Следы и последствия
Исследователи Socket проследили за кампанией через кластер похожих имен пакетов — неправильно написанные версии популярных библиотек, таких как express, dotenv и hardhat — и через шаблоны кода, связанные с ранее идентифицированными семействами вредоносного ПО из Северной Кореи, известными как BeaverTail и InvisibleFerret. Злоумышленники использовали зашифрованные «загрузчики» скриптов, которые расшифровывали и выполняли скрытые полезные нагрузки непосредственно в памяти, оставляя мало следов на диске.
Объем атаки
Компания сообщила, что примерно 50 000 загрузок вредоносных пакетов произошло до того, как многие из них были удалены, хотя некоторые все еще остаются в сети. Хакеры также использовали фальшивые аккаунты рекрутеров в LinkedIn, что согласуется с предыдущими кампаниями кибершпионажа КНДР, задокументированными Агентством кибербезопасности и инфраструктурной безопасности США (CISA) и ранее сообщенными в Decrypt.
Реакция и рекомендации
Владелец npm, GitHub, заявил, что удаляет вредоносные пакеты при их обнаружении и улучшает требования к проверке учетных записей. Однако, по словам исследователей, шаблон напоминает игру «бить молотом»: убираешь один набор вредоносных пакетов, и сотни других вскоре занимают их место. Для разработчиков и крипто-стартапов этот эпизод подчеркивает, насколько уязвимой стала цепочка поставок программного обеспечения.
Исследователи по безопасности призывают команды рассматривать каждую команду «npm install» как потенциальное выполнение кода, сканировать зависимости перед их объединением в проекты и использовать автоматизированные инструменты проверки для выявления поддельных пакетов.
Сила экосистемы открытого программного обеспечения — ее открытость — остается ее величайшей слабостью, когда противники решают использовать ее в своих интересах.
