Un recent incident cibernetic și-a făcut apariția în lumea digitală, implicând un pachet npm nociv, denumit “oscompatible”. Publicat pe 9 ianuarie 2024, pachetul a fost descărcat de 380 de ori înainte de a fi detectat și eliminat. Analiza efectuată de compania de securitate a lanțului de aprovizionare software Phylum a relevat că acesta conține componente periculoase, inclusiv un executabil, o bibliotecă cu linkuri dinamice (DLL) și un fișier DAT criptat, acompaniate de un fișier JavaScript.
Situația devine și mai gravă atunci când aflăm că acest fișier JavaScript, “index.js”, declanșează un script batch “autorun.bat”, care activează doar pe sistemele de operare Microsoft Windows. Dacă se detectează că sistemul nu rulează pe Windows, scriptul afișează un mesaj de eroare, sugerând rularea pe „Windows Server OS”. Mai mult, scriptul batch verifică privilegiile de administrator și, în lipsa acestora, lansează o componentă Microsoft Edge numită “cookie_exporter.exe”, folosind o comandă PowerShell.
Această acțiune declanșează o cerere UAC (User Account Control), solicitând acreditări de administrator pentru a rula binarul. Odată acceptată, etapa următoare a atacului se activează prin rularea unui DLL troianizat (“msedge.dll”) care utilizează tehnica de deturnare a ordinului de căutare a DLL pentru a decripta fișierul DAT (“msedge.dat”). Acesta lansează un alt DLL (“msedgedat.dll”) ce stabilește conexiuni cu un domeniu controlat de atacatori, “kdark1[.]com”, pentru a prelua o arhivă ZIP.
Un Troian Extrem de Periculos pentru Windows este Distribuit Liber pe Internet
În interiorul arhivei ZIP, atacatorii ascund software-ul AnyDesk și un troian de acces la distanță (“verify.dll”), capabil să primească instrucțiuni de la un server de comandă și control (C2) și să colecteze informații sensibile. Phylum a dezvăluit că pachetul instalează extensii Chrome, configurează AnyDesk, ascunde ecranul, dezactivează închiderea Windows și înregistrează activitățile de la tastatură și mouse.
Deși “oscompatible” pare a fi singurul modul npm implicat, acest incident reprezintă un semn alarmant privind interesul crescut al actorilor de amenințări față de ecosistemele software cu sursă deschisă (OSS) pentru atacuri ale lanțului de aprovizionare.
Procesul sofisticat de decriptare a datelor, utilizarea unui certificat revocat pentru semnare și extragerea altor fișiere din surse la distanță indică un nivel ridicat de complexitate în comparație cu incidentele obișnuite din ecosistemele OSS.
În plus, firma de securitate cloud Aqua a raportat recent că 21,2% din cele mai descărcate 50.000 de pachete npm sunt depreciate, reprezentând un risc de securitate major. Aproximativ 2,1 miliarde de descărcări săptămânale sunt afectate, incluzând depozitele GitHub arhivate și șterse, precum și pachetele menținute fără un depozit vizibil.
Cercetătorii de securitate Ilay Goldman și Yakir Kadkoda au subliniat gravitatea situației, atunci când menținătorii, în loc să remedieze vulnerabilitățile de securitate, optează pentru deprecierea pachetelor, lăsând utilizatorii expuși la amenințări nedeclarate și potențial grave.