Команда Checkmarx SCS обнаружила более 1200 пакетов npm, выпущенных в реестр более чем тысячей различных учетных записей пользователей. Это было сделано с помощью автоматизации, которая включает в себя возможность прохождения NPM 2FA challenge.
Checkmarx SCS назвали этого нового участника "CuteBoi" в знак уважения к "милому" имени пользователя, жестко закодированному во многих конфигурационных файлах пакетов, и к одному из неслучайных имен NPM, которые использует злоумышленник, "cloudyboi12".
CuteBoi Company
За последние несколько дней команда Checkmarx SCS обнаружила всплеск подозрительных пользователей NPM и автоматически созданных пакетов. Все эти пакеты содержат почти идентичный дубликат кода пакета eazyminer, JS-обертки вокруг XMRig. Эта обертка была разработана для использования неиспользуемых ресурсов машин, таких как ci/cd и веб-серверы.
Эта подозрительная активность включает в себя более 1200 пакетов, из которых более 1000 все еще доступны в реестре NPM. Эти пакеты были опубликованы почти 1000 автоматически созданных пользователей.
На данный момент загрузка и установка этих пакетов не окажет негативного влияния на машину. Скопированный код из eazyminer включает функциональность майнера, предназначенную для запуска изнутри другой программы, а не как самостоятельный инструмент. Злоумышленник не изменил эту особенность кода, и по этой причине он не будет запущен после установки.
CuteBoi, однако, внес некоторые изменения в конфигурационные файлы майнера. Наиболее интересным из них является URL, на который должна быть отправлена добытая криптовалюта, скорее всего, запущенный XMRig-proxy.
В основе этих пакетов лежат майнеры XMRig. Их двоичные файлы, скомпилированные для систем windows и linux, поставляются вместе с пакетами. Злоумышленник изменяет имена этих двоичных файлов, чтобы они соответствовали случайным именам самих пакетов.
CuteBoi использует автоматизацию для запуска вредоносных пакетов в масштабе, где почти каждый публикуемый пакет имеет уникальную учетную запись NPM, созданную с помощью специально разработанных процессов автоматизации.
Подобная техника автоматизации уже встречалась ранее у угрожающего агента RED-LILI, где злоумышленник запустил собственный сервер для поддержки такой автоматизации. Однако, похоже, что в данном случае CuteBoi нашел способ запустить такую атаку без размещения собственного сервера и регистрации доменов.
Глядя на домены, с помощью которых CuteBoi создает пользователей NPM, можно сделать вывод, что они используют mail.tm - бесплатный сервис, предоставляющий одноразовые адреса электронной почты с REST API, позволяющий программам открывать одноразовые почтовые ящики и читать полученные письма, отправленные им с помощью простого вызова API. Таким образом, CuteBoi может и легко победить вызов NPM 2FA при создании учетной записи пользователя.
Indicators of Compromise
IPv4
- 130.162.52.80
Domains
- fisch.ml
- idots.cf
- knowledgemd.com
- Nordalts.ml
- scpulse.com
MD5
- 105704d5455bb188ad4985d5e593ff6c
- d3e4daa6c4d5ec23f322a19dae173bd9
SHA1
- e22a630f3d3c7a78dbb47f44343b49059f98a251
- c72dce5b747261a658a46d977a0b37ca628571f2
SHA256
- b6de08712fedfeb4404f8a8de3c14a241978acb116dc42f4c711766f14044c36
- 9c10c46476fe17167237c99b66b18d875ed95db9cde1a8e4d5f43f83e0daff26