Годовая атака на цепочку поставок NPM сочетает майнинг криптовалют и кражу данных

security IOC

Команда исследователей Checkmarx Research обнаружила атаку на цепочку поставок программного обеспечения (ЦПО), которая продолжалась в течение года. Вредоносный пакет @0xengine/xmlrpc начал свою жизнь как «легитимная» реализация XML-RPC в октябре 2023 года, но в последующих версиях был изменен и стал использоваться вредоносными целями. Атака продолжалась до ноября 2024 года. Это наглядно демонстрирует, что даже если пакет изначально был безопасным, его безопасность может быть скомпрометирована в результате обновлений. Поэтому важно постоянно следить за угрозами в цепочке поставок программного обеспечения, как при первоначальной проверке, так и на протяжении всего жизненного цикла пакета.

Описание

Вредоносный пакет " @0xengine/xmlrpc " был замаскирован как реализация XML-RPC, доступная в реестре пакетов NPM с октября 2023 года по ноябрь 2024 года. За это время пакет был обновлен 16 раз. Пакет начался как легитимный инструмент, но в более поздних версиях к нему был добавлен вредоносный код. Вредоносная программа крадет конфиденциальные данные и добывает криптовалюту на зараженных системах. Для передачи украденных данных использовались Dropbox и file.io. Атака распространялась через прямую установку пакета NPM и скрытую зависимость в легитимном репозитории.

Основная стратегия распространения вредоносного пакета включает два вектора: прямую установку @0xengine/xmlrpc из NPM и использование репозитория GitHub под названием "yawpp". Разработчики инструмента yawpp используют зависимость от пакета @0xengine/xmlrpc для взаимодействия с сайтами WordPress. Пользователи, устанавливающие инструмент yawpp, автоматически получали вредоносный пакет в качестве зависимости.

Вредоносная программа активируется при выполнении определенных команд с флагом '-targets' или '-t', а также при запуске основных скриптов yawpp. После активации она собирает информацию о системе, крадет конфиденциальные данные и майнит криптовалюту на зараженных системах.

Обнаружение атаки свидетельствует о необходимости постоянного мониторинга и осторожности в отношении цепочки поставок программного обеспечения. Длительность истории обслуживания пакета и последовательные обновления не гарантируют его безопасность. Это важное напоминание о том, что безопасность ЦПО требует непрерывного внимания на протяжении всего жизненного цикла пакета.

Indicators of Compromise

URLs

  • https://codeberg.org/k0rn66/xmrdropper/raw/branch/master/xmrig
  • https://codeberg.org/k0rn66/xmrdropper/raw/branch/master/xprintidle
  • https://codeberg.org/k0rn66/xmrdropper/raw/branch/master/Xsession.sh
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий