Команда исследователей ReversingLabs сосредоточилась на мониторинге публичных репозиториев с открытым исходным кодом, чтобы обнаруживать вредоносные пакеты. Угрозы в виде вредоносного программного обеспечения, похищающего информацию, становятся все более распространенными. Эти пакеты обнаруживаются и сообщаются сопровождающим репозиториев, что способствует удалению опасного кода. Однако размер экосистемы открытого исходного кода огромен, что делает сложной задачу его отслеживания и контроля.
legacyreact-aws-s3-typescript
Недавно исследовательская группа ReversingLabs обнаружила вредоносный пакет, скрывающийся на платформе npm. Этот пакет подражал популярному легальному пакету react-aws-s3-typescript, но содержал вредоносный код. Такие пакеты могут быть определены как подозрительные на основе необычной активности после установки. Исследователи обнаружили, что после установки этот пакет выполнял постинсталляционный скрипт, который загружал и выполнял второй этап вредоносного программного обеспечения.
Пост- и предустановочные скрипты являются распространенной практикой в разработке программного обеспечения, но могут также содержать вредоносный код. В данном случае обнаруженный пакет содержал простой бэкдор, который открывал сокет и выполнял действия, направленные на получение конфиденциальных данных.
Мониторинг и обнаружение вредоносных пакетов в открытом исходном коде являются важными мерами для обеспечения безопасности разработки программного обеспечения. Портал Spectra Assure Community предоставляет удобный инструмент для оценки рисков и предварительного сканирования пакетов перед их развертыванием.
Indicators of Compromise
IPv4
- 91.238.181.250
SHA1
- 485b0fa86950ceec9922e4749a113bb997aac0a1
- 55e64c35f01cdcb9c8a4de9d873226b919bb2add
- 6936de7e1b70d4aefabf26a2d1ae4cd1b9f95195
- 6a590acdf4051bf40794671a4bfc6c3009de71f4
- 749040d8892de0bee0e173f5fea5ada3e5538b87
- 7b52b6401bce7adccb5562851504b5d3e4944ef5
- b10718704bed19296a8b55616f9df53cd434443a