В начале ноября компании Phylum и CheckPoint опубликовали тревожные данные о серии вредоносных пакетов, распространяемых в экосистеме npm. Исследователи связали эти атаки с одним и тем же злоумышленником, использующим изощренные методы маскировки вредоносного кода. Группа Checkmarx, специализирующаяся на безопасности цепочек поставок, идентифицировала угрозу как активного агента под названием "WASP".
Описание
По данным экспертов, злоумышленник продолжает активно распространять вредоносные пакеты, регулярно обновляя их и меняя тактику. Команда Checkmarx обнаружила так называемый "зал славы" WASP, где были перечислены сотни успешных заражений. Это свидетельствует о масштабности кампании и высоком уровне организации атакующего.
Анализ методов работы WASP выявил несколько опасных особенностей. Во-первых, злоумышленник использует полиморфное вредоносное ПО - полезная нагрузка меняется при каждой установке, что значительно усложняет детектирование. Во-вторых, код постоянно перезагружается, чтобы избежать статического анализа. В-третьих, применяется стеганография - техника скрытия вредоносного кода внутри легитимных файлов пакетов. Кроме того, злоумышленник создает поддельные репутационные профили на GitHub, чтобы повысить доверие к своим пакетам среди разработчиков.
Основная цель вредоносной программы - кража конфиденциальных данных. После установки пакета WASP сканирует систему жертвы в поисках учетных записей Discord, паролей, криптокошельков, данных кредитных карт и других ценных файлов. Всё похищенное отправляется злоумышленнику через жестко закодированный Discord webhook.
Исследователи предполагают, что атака связана с киберпреступной деятельностью, а не с государственными или хактивистскими группировками. Злоумышленник активно рекламирует свои инструменты в даркнете, утверждая, что они "необнаружимы", что может указывать на коммерческий характер атаки.
Эта кампания в очередной раз подчеркивает растущую угрозу для экосистемы открытого исходного кода. Злоумышленники всё чаще используют сложные техники обхода защиты, включая полиморфизм и социальную инженерию. Эксперты призывают разработчиков тщательно проверять сторонние пакеты перед установкой и полагаться только на проверенные источники.
Компании, занимающиеся безопасностью, уже начали обновлять свои базы сигнатур и системы мониторинга для противодействия WASP. Однако, учитывая динамичный характер угрозы, ключевым фактором защиты остается своевременный обмен информацией между исследователями и сообществом. Только совместные усилия могут помочь снизить риски для разработчиков и пользователей открытого ПО.
Список пакетов
| Package Name | Package Version | Created |
| apicolor | 1.2.1 | 2022-10-31T21:32:43.000000 |
| apicolor | 1.2.3 | 2022-11-01T01:32:40.000000 |
| apicolor | 1.2.4 | 2022-11-01T18:48:38.000000 |
| apicolor | 6.6.6 | 2022-11-05T00:00:35.000000 |
| apicolors | 6.6.6 | 2022-11-06T02:00:29.000000 |
| apicolors | 6.6.7 | 2022-11-07T00:32:57.000000 |
| ascii2art | 4.1 | 2022-11-14T13:21:13.000000 |
| blockcypher-lib | 1.0.93 | 2022-11-14T13:54:09.000000 |
| colorapi | 0.0.1 | 2022-11-13T22:03:05.000000 |
| colorps | 0.0.1 | 2022-11-14T03:36:03.000000 |
| colorsapi | 6.6.7 | 2022-11-09T00:48:44.000000 |
| crypto-payments | 1.1.2 | 2022-11-14T13:51:08.000000 |
| discord-api-wrapper | 1.0.0 | 2022-11-14T12:45:07.000000 |
| coloroma | 0.0.1 | 2022-11-12T11:15:05.000000 |
| coloroma | 0.0.2 | 2022-11-14T18:34:48.000000 |
| colurama | 0.0.2 | 2022-11-15T12:29:50.000000 |
| colurama | 0.0.3 | 2022-11-15T12:57:11.000000 |
| cryptlib | 0.0.1 | 2022-11-12T15:08:06.000000 |
| cryptlib | 0.0.2 | 2022-11-12T16:00:54.000000 |
| cryptlib | 0.0.3 | 2022-11-12T20:20:40.000000 |
| cryptlib | 0.0.4 | 2022-11-15T13:03:54.000000 |
| colorarise | 0.0.1 | 2022-11-15T18:33:45.000000 |
| randomized | 0.0.3 | 2022-11-15T21:18:08.000000 |
| tiktok-filter-api | 2 | 2022-11-12T02:06:08.000000 |
| tiktok-filter-api | 2.28.1 | 2022-11-12T02:45:00.000000 |
| pyshftuler | 2.28.1 | 2022-11-12T21:42:00.000000 |
| pywale | 2.28.1 | 2022-11-05T04:16:00.000000 |
Индикаторы компрометации
Domains
- misogyny.wtf
URLs
- http://misogyny.wtf/grab/UsRjS959Rqm4sPG4
- http://misogyny.wtf/inject/UsRjS959Rqm4sPG4
- http://misogyny.wtf:2020/copy
- http://misogyny.wtf:2020/parser
- http://misogyny.wtf:8080/
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513531667726336/UPDATE.exe
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513532061978685/FEED.exe
- https://i.imgur.com/xbQ1J4D.png
