وبلاگ

بسته Npm مخرب از Typosquatting استفاده می کند، بدافزار را دانلود می کند

24 بهمن

بسته ای به نام “aabquerys” در مخزن منبع باز جاوا اسکریپت npm با استفاده از تکنیک های typosquatting برای فعال کردن دانلود اجزای مخرب مشاهده شده است.

این یافته‌ها از سوی محققان امنیتی ReversingLabs به دست آمده است که گفته‌اند aabquerys قادر است بارهای بدافزارهای مرحله دوم و سوم را در سیستم‌های آلوده دانلود کند.

“نام بسته، aabquerys، همچنین شبیه به نام یک ماژول npm قانونی دیگر است: abquery، شواهدی از “typosquatting” یا تلاش برای ایجاد سردرگمی و فریب دادن توسعه‌دهندگان به دانلود یک بسته مخرب به جای یک بسته قانونی. مشاوره ارسال شده توسط این شرکت در روز پنجشنبه.

نوشته فنی توسط محققین تهدید ReversingLabs، Lucija Valentic و Karlo Zanki می‌گوید که بسته مخرب شامل دو فایل است که یکی از طریق مبهم‌کننده جاوا اسکریپت مبهم شده است.

محققان نوشتند: “کد منبع باز برای همه قابل مشاهده است، بنابراین تلاش برای پنهان کردن یا پنهان کردن عملکرد در یک ماژول منبع باز باید مورد بررسی قرار گیرد.”

«در مورد aabquerys، کد مبهم مورد بحث به راحتی حذف شد. این یک فایل [جاوا اسکریپت] با رفتارهای مخرب آشکار را نشان داد.”

به گفته ReversingLabs، وقتی در رایانه شخصی باز شد، فایل یک پیام جعلی خرابی مرورگر وب و پیوندی را نشان داد که منجر به دانلود بدافزار مرحله دومی شد که در چندین کمپین بدافزار استفاده شده است. این، به نوبه خود، یک فایل کتابخانه پیوند پویا (DLL) را که یک جزء مخرب مرحله سوم را دانلود می‌کرد، کنار گذاشت.

این فایل که “Demon.bin” نام دارد، یک عامل مخرب با قابلیت های مختلف تروجان دسترسی از راه دور (RAT) است که طبق گزارش ها با استفاده از چارچوب منبع باز، پس از بهره برداری، فرمان و کنترل (C2) Havoc توسط نویسنده بدافزار C5pider توسعه یافته است.

Valentic نوشت: «از زمان کشف بسته aabquerys، npm آن را به همراه بسته‌های مخرب دیگر از مخزن خود حذف کرده است.

محققان توضیح دادند که در همان زمان، کشف بسته مخرب (و شواهد دیگران) توسط نگهدارنده مسئول، خطر فزاینده پنهان شدن بسته های مخرب در مخازن منبع باز مانند npm، PyPI و GitHub را برجسته می کند.

این خطر مستلزم توجه بیشتر سازمان‌های توسعه به نشانه‌های رفتار مخرب یا مشکوک در زنجیره تامین منبع باز است.

به عنوان مثال، Sonatype هفته‌ها پیش تحقیقات جدیدی را منتشر کرد که نشان می‌دهد بیش از 400 بسته مخرب در npm در ماه دسامبر و ده‌ها بسته دیگر در مخزن PyPI یافت شده است

جدیدتر گروه تهدید جدید اسکرین شات ها را قبل از ضربه زدن بررسی می کند
بازگشت بە لیست
قدیمی‌تر CISA ,ابزار بازیابی را برای قربانیان باج افزار VMware منتشر کرد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *