Ricercatori di cybersecurity hanno scoperto diversi pacchetti di criptovalute sul registro npm che sono stati compromessi per sottrarre informazioni sensibili come le variabili d’ambiente dai sistemi compromessi. “Alcuni di questi pacchetti sono presenti su npmjs.com da oltre 9 anni e offrono funzionalità legittime agli sviluppatori di blockchain,” ha dichiarato Ax Sharma, ricercatore di Sonatype. “Tuttavia, le versioni più recenti di ciascuno di questi pacchetti contenevano script offuscati.”
Pacchetti compromessi
I pacchetti interessati e le loro versioni compromesse sono elencati di seguito:
- country-currency-map (2.1.8)
- bnb-javascript-sdk-nobroadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- eslint-config-travix (6.3.1)
- @crosswise-finance1/sdk-v2 (0.1.21)
- @keepkey/device-protocol (7.13.3)
- @veniceswap/uikit (0.65.34)
- @veniceswap/eslint-config-pancake (1.6.2)
- babel-preset-travix (1.2.1)
- @travix/ui-themes (1.1.5)
- @coinmasters/types (4.8.16)
Analisi del codice malevolo
L’analisi di questi pacchetti da parte dell’azienda di sicurezza della catena di fornitura software ha rivelato che sono stati avvelenati con codice pesantemente offuscato in due script differenti: “package/scripts/launch.js” e “package/scripts/diagnostic-report.js”. Il codice JavaScript, che viene eseguito immediatamente dopo l’installazione dei pacchetti, è progettato per raccogliere dati sensibili come chiavi API, token di accesso, chiavi SSH e inviarli a un server remoto (“eoi2ectd5a5tn1h.m.pipedream[.]net”).
Metodi di compromissione
Curiosamente, nessuno dei repository GitHub associati alle librerie è stato modificato per includere le stesse modifiche, sollevando domande su come gli attori della minaccia siano riusciti a inserire codice malevolo. Attualmente non è noto quale sia l’obiettivo finale della campagna. “Ipotizziamo che la causa del dirottamento sia la compromissione di vecchi account di manutentori npm, sia tramite credential stuffing (dove gli attori della minaccia riutilizzano nomi utente e password trapelati in precedenti violazioni per compromettere account su altri siti), sia tramite la presa di controllo di un dominio scaduto,” ha affermato Sharma.
Importanza della sicurezza
Data la tempistica concomitante degli attacchi su più progetti di manutentori distinti, il primo scenario (presa di controllo degli account dei manutentori) sembra essere più probabile rispetto ad attacchi di phishing ben orchestrati. I risultati sottolineano la necessità di proteggere gli account con l’autenticazione a due fattori (2FA) per prevenire attacchi di takeover. Evidenziano anche le sfide associate all’applicazione di tali misure di sicurezza quando i progetti open-source raggiungono la fine del loro ciclo di vita o non sono più attivamente mantenuti.
Conclusionii
“Il caso evidenzia un bisogno urgente di migliorare le misure di sicurezza della catena di fornitura e una maggiore vigilanza nel monitoraggio dei registri software di terze parti da parte degli sviluppatori,” ha detto Sharma. “Le organizzazioni devono dare priorità alla sicurezza in ogni fase del processo di sviluppo per mitigare i rischi associati alle dipendenze di terze parti.”
Fonte: The Hackers News
