Χάκερ κατέλαβαν τον λογαριασμό npm του πακέτου Axios, ενός προγράμματος-πελάτη JavaScript HTTP με 100 εκατομμύρια+ εβδομαδιαίες λήψεις, για να παραδώσουν trojan απομακρυσμένης πρόσβασης σε συστήματα Linux, Windows και macOS.
Σύμφωνα με αναφορές από εταιρείες ασφάλειας εφοδιαστικής αλυσίδας λογισμικού και ασφάλειας εφαρμογών Endor Labs, Υποδοχή, Aikidoκαι StepSecurityο παράγοντας απειλών δημοσίευσε στο μητρώο του Node Package Manager (npm) δύο κακόβουλες εκδόσεις του πακέτου
Μία κακόβουλη παραλλαγή, [email protected], δημοσιεύτηκε σήμερα στις 00:21 UTC, ενώ η δεύτερη, [email protected], εμφανίστηκε λιγότερο από μία ώρα αργότερα, στη 01:00 UTC.
Τα πακέτα δημοσιεύτηκαν χωρίς την προέλευση του αυτοματοποιημένου πακέτου OpenID Connect (OIDC) και δεν εμφανίστηκε καμία αντίστοιχη δέσμευση GitHub, η οποία θα πρέπει να ενεργοποιήσει μια ειδοποίηση αμέσως.
Οι ερευνητές λένε ότι ο ηθοποιός της απειλής απέκτησε πρόσβαση στο πακέτο αφού παραβίασε τον λογαριασμό npm του Jason Saayman, του κύριου Συντηρητής Αξιού.
Δεν είναι σαφές πόσα έργα κατάντη έχουν επηρεαστεί από την επίθεση στην εφοδιαστική αλυσίδα κατά τη διάρκεια του παραθύρου έκθεσης σχεδόν των τριών ωρών.
Δεδομένου ότι το πακέτο Axios npm έχει γύρω 400 εκατομμύρια μηνιαίες λήψειςο αριθμός μπορεί να είναι σημαντικός.
Το Axios είναι ένας πελάτης HTTP για εφαρμογές JavaScript που διαχειρίζεται αιτήματα μεταξύ πελατών, όπως προγράμματα περιήγησης ή εφαρμογές Node.js και διακομιστές. Σκοπός του είναι να απλοποιήσει την επικοινωνία μέσω αιτημάτων GET, POST, PUT/PATCH και DELETE.
Αλυσίδα μόλυνσης
Μετά την πρόσβαση στο πακέτο, ο εισβολέας εισήγαγε μια κακόβουλη εξάρτηση που ονομάζεται plain-crypto-js@^4.2.1 στο πακέτο.json αρχείο και δεν άλλαξε τον κώδικα Axios.
Η εξάρτηση εκτελεί ένα σενάριο μετά την εγκατάσταση κατά την εγκατάσταση του πακέτου, εκκινώντας ένα ασαφή σταγονόμετρο (setup.js) που έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) για να ανακτήσει ένα ωφέλιμο φορτίο επόμενου σταδίου με βάση το λειτουργικό σύστημα που εντοπίστηκε.
Πηγή: Endor Labs
Στα Windows, η επίθεση αναμιγνύει VBScript και PowerShell για να τρέξει ένα κρυφό παράθυρο γραμμής εντολών και να εκτελέσει ένα κακόβουλο σενάριο. Το κακόβουλο λογισμικό αντιγράφει το PowerShell στο %PROGRAMDATA%\wt.exe για να αποφύγει την ανίχνευση και να επιτύχει επιμονή στις επανεκκινήσεις, στη συνέχεια κατεβάζει και εκτελεί ένα σενάριο PowerShell.
Στο macOS, το κακόβουλο λογισμικό χρησιμοποιεί AppleScript για λήψη ενός δυαδικού αρχείου /Library/Caches/com.apple.act.mondεπισημάνετε το ως εκτελέσιμο και εκτελέστε το στο παρασκήνιο.
Σε συστήματα Linux, το dropper ανακτά ένα ωφέλιμο φορτίο που βασίζεται σε Python που είναι αποθηκευμένο στο ‘/tmp/ld.py‘ και το εκτελεί στο παρασκήνιο με το nohup (όχι κλείσιμο) εντολή.
Σε όλες τις περιπτώσεις, το κακόβουλο λογισμικό μόλυνε τον κεντρικό υπολογιστή με έναν trojan απομακρυσμένης πρόσβασης (RAT), επιτρέποντας στους εισβολείς να εκτελούν εντολές και να διατηρούν την επιμονή σε μολυσμένα συστήματα.
Το RAT μπορεί να ανακτήσει και να εκτελέσει ένα δυαδικό αρχείο με κωδικοποίηση base64 που γράφει σε ένα κρυφό αρχείο temp, να εκτελέσει εντολές φλοιού μέσω /bin/sh ή AppleScript και να απαριθμήσει καταλόγους στον μολυσμένο κεντρικό υπολογιστή.
Αφού ολοκληρωθεί η μόλυνση, το σταγονόμετρο διαγράφεται, αφαιρεί το τροποποιημένο πακέτο.jsonκαι το αντικαθιστά με ένα καθαρό αντίγραφο για να δυσκολέψει τις ιατροδικαστικές έρευνες.
Πηγή: Socket
Σύμφωνα με ερευνητές στο StepSecurity, η επίθεση στην αλυσίδα εφοδιασμού Axios ήταν όχι ευκαιριακήαλλά μια προσεκτικά σχεδιασμένη δραστηριότητα, καθώς «η κακόβουλη εξάρτηση οργανώθηκε 18 ώρες νωρίτερα».
Το γεγονός ότι παραδόθηκαν διαφορετικά ωφέλιμα φορτία με βάση το ανιχνευμένο λειτουργικό σύστημα φαίνεται να υποστηρίζει αυτή τη θεωρία, μαζί με την ενέργεια αυτοκαταστροφής για κάθε τεχνούργημα.
Επί του παρόντος, δεν υπάρχουν πληροφορίες σχετικά με τον παράγοντα απειλής πίσω από την επίθεση στην αλυσίδα εφοδιασμού Axios.
Πρόσφατα, αρκετές επιθέσεις υψηλού προφίλ εφοδιαστικής αλυσίδας ανελήφθησαν από μια ομάδα γνωστή ως TeamPCP. Οι χάκερ στόχευσαν δημοφιλή έργα λογισμικού ανοιχτού κώδικα όπως το Telnyx, το LiteLLM και το Trivy.
Ωστόσο, ο συμβιβασμός του πακέτου Axios δεν έχει τα χαρακτηριστικά μιας επίθεσης TeamPCP και οι ερευνητές ασφαλείας δεν μπορούσαν να το συνδέσουν με έναν συγκεκριμένο παράγοντα απειλής.
Συνιστάται στους χρήστες του Axios να κλειδώνουν στα [email protected] και [email protected], που είναι οι τελευταίες γνωστές καθαρές εκδόσεις του δημοφιλούς πακέτου.
Εάν επιβεβαιωθεί ο συμβιβασμός, περιστρέψτε όλα τα διαπιστευτήρια και δημιουργήστε ξανά περιβάλλοντα από μια γνωστή καλή κατάσταση.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
