Μια εξαιρετικά συντονισμένη καμπάνια κοινωνικής μηχανικής στοχεύει ενεργά κορυφαίους προγραμματιστές ανοιχτού κώδικα στο οικοσύστημα Node.js και npm. Η πρόσφατη παραβίαση του δημοφιλούς πακέτου Axios, που σημειώνει πάνω από 100 εκατομμύρια λήψεις εβδομαδιαίως, αποτελεί έναν από τους πολλούς δείκτες της αυξανόμενης απειλής. Πολλοί συντηρητές λογισμικού έχουν αναφέρει παρόμοιες επιθέσεις, ενισχύοντας την ανησυχία της κοινότητας για την ασφάλεια των εφαρμογών τους.
Οι ερευνητές ασφαλείας θεωρούν αυτήν την στρατηγική αλλαγή των επιτιθέμενων ως μία μεθοδολογία που στοχεύει να δηλητηριάσει την παγκόσμια αλυσίδα εφοδιασμού λογισμικού. Οι εισβολείς επικεντρώνονται στους προγραμματιστές που διατηρούν αναγκαία εργαλεία JavaScript, όπως το WebTorrent, Lodash, Fastify και dotenv, τα οποία κατεβαίνουν δισεκατομμύρια φορές κάθε μήνα, αυξάνοντας τη σημασία της προστασίας τους.
Τα περιστατικά αυτά είχαν την επιβεβαίωση και από μηχανικούς του Socket, τον Διευθύνοντα Σύμβουλο Feross Aboukhadijeh, και τον Πρόεδρο της Τεχνικής Διευθύνουσας Επιτροπής της Node.js, Matteo Collina. Ο Collina υπογράμμισε ότι οι επιτιθέμενοι χρησιμοποίησαν την τακτική να υποδύονται νόμιμες εταιρείες για να αποσπάσουν πληροφορίες.
Ο Aboukhadijeh πρόσθεσε ότι τέτοιες προχωρημένες επιθέσεις έχουν γίνει το νέο φυσιολογικό και ότι οι τακτικές αυτές εξαπλώνονται ραγδαία στο οικοσύστημα λογισμικού.
Ένας υπομονετικός και παραπλανητικός παίκτης
Σε αντίθεση με τις τυπικές επιθέσεις phishing, αυτές οι τακτικές απαιτούν μεγάλο χρονικό διάστημα για την εκτέλεση αυτών των επιθέσεων. Ο ερευνητής Tay συνδέει αυτές τις επιθέσεις με μια βορειοκορεατική ομάδα γνωστή ως UNC1069. Σύμφωνα με ανάλυση από το Socket, οι χάκερ χρησιμοποιούν μια υπομονετική και στοχευμένη προσέγγιση για την αποθήκευση εμπιστοσύνης με τους προγραμματιστές.
Οι επιτιθέμενοι προσεγγίζουν τις στόχες τους μέσω επαγγελματικών πλατφορμών όπως το LinkedIn και το Slack, χρησιμοποιώντας ψεύτικα προφίλ μη υπαρκτών εταιρειών, όπως η “Openfort”. Προγραμματιστές όπως οι Pelle Wessman και Jean Burellier ανέφεραν πρόσκληση σε ιδιωτικά κανάλια Slack και υπήρξαν πιέσεις να συμμετάσχουν σε podcast.
Όλη αυτή η διαδικασία ολοκληρώνεται με υπομονή, οι εισβολείς προγραμματίζουν επαναλαμβανόμενες κλήσεις που φαίνονται φυσιολογικές και αφοπλιστικές.
Η παγίδα στήνεται κατά τη διάρκεια προγραμματισμένων βιντεοκλήσεων. Οι hackers στέλνουν έναν σύνδεσμο προς μια ψεύτικη πλατφόρμα συνάντησης όπου προσποιούνται ότι υπάρχει πρόβλημα με τον ήχο, προτείνοντας στους προγραμματιστές να κατεβάσουν ένα πρόγραμμα ή να εκτελέσουν μια εντολή στο τερματικό τους. Αυτές οι ενέργειες προκαλούν την πραγματική επίθεση.
Παράκαμψη της σύγχρονης ασφάλειας
Όταν οι προγραμματιστές πέσουν στην παγίδα, η λήψη που κάνουν εγκαθιστά έναν κρυφό Remote Access Trojan (RAT). Αυτό το επικίνδυνο κακόβουλο λογισμικό συλλέγει σιωπηλά ευαίσθητα δεδομένα από τον υπολογιστή του θύματος, κλέβοντας cookies του προγράμματος περιήγησης, διαπιστεύσεις cloud, keychains κωδικών πρόσβασης και ενεργά διακριτικά προγραμματιστών.
Το κακόβουλο λογισμικό επιτρέπει στους χάκερ να παρακάμψουν τα παραδοσιακά μέτρα ασφάλειας, όπως ο έλεγχος ταυτότητας δύο παραγόντων, προσφέροντας τους άμεση πρόσβαση στους λογαριασμούς των θυμάτων. Αυτή η τακτική τους δίνει τη δυνατότητα να δημοσιεύσουν κώδικα απευθείας στο μητρώο npm, αλλοιώνοντας τις εφαρμογές εκατομμυρίων χρηστών.
Ιστορικά, αυτή η συγκεκριμένη ομάδα hacking είχε στραφεί σε στόχους στον τομέα των κρυπτονομισμάτων, αλλά τώρα φαίνεται ότι έχουν επενδύσει στο λογισμικό ανοιχτού κώδικα. (Πηγή: ZDNet)
Αντί να επιτίθενται σε μεμονωμένους στόχους, μια μόνο παραβίαση δημοφιλούς πακέτου npm τους επιτρέπει να επηρεάσουν εκατομμύρια χρήστες μέσω αυτοματοποιημένων ενημερώσεων.
Οι ειδικοί ασφάλειας προειδοποιούν την κοινότητα ανοιχτού κώδικα να παραμείνει σε εγρήγορση και να υποστηρίζει ο ένας τον άλλον, χωρίς να κατηγορούν τα θύματα. Αυτές οι επιθέσεις είναι εξαιρετικά πειστικές και ο καθένας θα μπορούσε να εξαπατηθεί ανά πάσα στιγμή. Καθώς οι προηγμένες απειλές αυξάνονται, η ασφάλεια των σύγχρονων εφαρμογών εξαρτάται σε μεγάλο βαθμό από την ενίσχυση της προστασίας των προγραμματιστών που συμμετέχουν στην ανάπτυξη του βασικού λογισμικού.