Συναγερμός στην κοινότητα της ανάπτυξης: Επιθέσεις εφοδιαστικής αλυσίδας στα πακέτα SAP npm
Η ψηφιακή ασφάλεια βρίσκεται σε αυξανόμενη προτεραιότητα για προγραμματιστές και οργανισμούς που βασίζονται σε ανοιχτού κώδικα. Μια πρόσφατη αναφορά αποκάλυψε ότι πολλά επίσημα πακέτα της SAP στο npm υπήρξαν θύματα μιας συντονισμένης επίθεσης. Αυτή η στρατηγική, γνωστή ως επίθεση αλυσίδας εφοδιασμού, έχει στόχο την υποκλοπή ευαίσθητων διαπιστευτηρίων και διακριτικών ελέγχου ταυτότητας από συστήματα προγραμματιστών, θέτοντας σε κίνδυνο την ασφάλεια των υποδομών. Οι ερευνητές ασφάλειας προειδοποιούν ότι οι παραβιάσεις αφορούν σημαντικά πακέτα που χρησιμοποιούνται ευρέως στην ανάπτυξη εφαρμογών στην πλατφόρμα Cloud της SAP.
Τι ακριβώς συμβαίνει;
Η επίθεση επηρεάζει τέσσερα συγκεκριμένα πακέτα, τα οποία έχουν πλέον καταργηθεί από το NPM:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – έκδοση 2.10.1
- mbt – v1.2.48
Αυτά τα πακέτα υποστηρίζουν το Cloud Application Programming Model (CAP) και το Cloud MTA της SAP, τα οποία είναι θεμελιώδη για τη σύγχρονη ανάπτυξη επιχειρήσεων. Σύμφωνα με έγκυρες πηγές, όπως το Socket και το Aikido, τα παραβιασμένα πακέτα περιείχαν ένα «κακόβουλο σενάριο προεγκατάστασης» που εκτελείται αυτόματα κατά την εγκατάσταση του πακέτου.
Πώς λειτουργεί η επίθεση;
Το κακόβουλο σενάριο, γνωστό ως setup.mjs, επιχειρεί να κατεβάσει το JavaScript runtime Bun από το GitHub. Χρησιμοποιεί αυτό το περιβάλλον για να εκτελέσει ένα ωφέλιμο φορτίο, το οποίο ονομάζεται execution.js, το οποίο έχει σχεδιαστεί για να κλέβει διαπιστευτήρια από διάφορες πηγές, όπως:
- npm και διακριτικά ελέγχου ταυτότητας GitHub
- Κλειδιά SSH και διαπιστευτήρια προγραμματιστή
- Διαπιστευτήρια Cloud για AWS, Azure και Google Cloud
- Διαμόρφωση και μυστικά Kubernetes
- Μυστικά CI/CD και μεταβλητές περιβάλλοντος
Ένα από τα πιο ανησυχητικά χαρακτηριστικά του κακόβουλου λογισμικού είναι η ικανότητά του να εξάγει μυστικά απευθείας από τη μνήμη του δρομέα (runner) CI, κάτι που έχει παρατηρηθεί σε προηγούμενες επιθέσεις μέσω του TeamPCP. Όπως σημειώνει το Socket, «το ωφέλιμο φορτίο εκτελεί ένα ενσωματωμένο σενάριο Python που διαβάζει /proc//χάρτες και /proc//mem». Αυτή η προσέγγιση παρακάμπτει τις καλύψεις καταγραφής που εφαρμόζονται από τις πλατφόρμες CI, κάτι που καθιστά την ανίχνευση δύσκολη.
Πώς γίνεται η υποκλοπή;
Το κακόβουλο λογισμικό συλλέγει δεδομένα, τα κρυπτογραφεί και τα ανεβάζει σε δημόσια αποθετήρια GitHub με περιγραφή που προσομοιάζει προκλητικά σε προηγούμενες επιθέσεις, όπως “Ένα Mini Shai-Hulud έχει εμφανιστεί”. Αυτή η περιγραφή παραπέμπει σε επιθέσεις εφοδιαστικής αλυσίδας που διαπιστώθηκαν στο παρελθόν σε άλλες πλατφόρμες.
Πηγή: Aikido
Η επιτυχία της επίθεσης εξαρτάται από τη δυνατότητα αναγνώρισης και ανάκτησης κωδικών πρόσβασης από αναζητήσεις δέσμευσης στο GitHub. Κωδικοποιημένα μηνύματα δέσμευσης αναγνωρίζονται ως διακριτικά, παρέχοντας στους επιτιθέμενους πρόσβαση σε αποθετήρια.
Προηγούμενες επιθέσεις και συνέπειες
Είναι σημαντικό να αναφερθεί ότι αυτή η επίθεση έχει συνδεθεί, με μέτρια εμπιστοσύνη, με τους παράγοντες απειλής TeamPCP, οι οποίοι έχουν χρησιμοποιήσει παρόμοια τεχνικές σε προηγούμενες επιθέσεις εναντίον οργανισμών όπως οι Trivy, Checkmarx και Bitwarden. Αξιοσημείωτο είναι ότι δεν είναι ξεκάθαρο πώς οι επιτιθέμενοι έφτασαν στη διαδικασία δημοσίευσης npm της SAP. Ο Adnan Khan, μηχανικός ασφάλειας, σημειώνει ότι ένα διακριτικό NPM μπορεί να έχει εκτεθεί λόγω εσφαλμένης παραμετροποίησης εργασίας CircleCI.
Μέχρι τη στιγμή που γράφονταν αυτές οι γραμμές, η BleepingComputer είχε έρθει σε επαφή με τη SAP, ωστόσο δεν είχε λάβει καμία επίσημη απάντηση σχετικά με το πώς σημειώθηκε η παραβίαση των πακέτων npm.
Μια νέα διάσταση της κυβερνοασφάλειας αναδύεται, καθώς η τεχνητή νοημοσύνη συμβάλλει στο σχεδιασμό exploit που παρακάμπτει τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Στο Autonomous Validation Summit (12 & 14 Μαΐου), θα παρουσιαστούν οι τελευταίες εξελίξεις στον τομέα των αυτόνομων και πλούσιων σε περιβάλλον επικυρώσεων.
