Το NPM υποφέρει και πάλι από μια πλημμύρα κακόβουλων πακέτων που οδηγεί σε άρνηση εξυπηρέτησης
Δόθηκαν στη δημοσιότητα πληροφορίες για α πρόβλημα που προέκυψε στο NPM και είναι αυτός ο χάκερs πλημμύρισε το αποθετήριο npm πακέτα ανοιχτού κώδικα για το Node.js με πλαστές συσκευασίες που έστω και για λίγο πυροδότησε επίθεση άρνησης υπηρεσίας (DoS).
αν και πρόσφατα έχουν παρατηρηθεί παρόμοιες εκστρατείες Διαδίδοντας συνδέσμους phishing, το τελευταίο κύμα ανέβασε τον αριθμό των εκδόσεων πακέτων σε 1,42 εκατομμύρια, μια δραματική αύξηση από τα περίπου 800,000 πακέτα που δημοσιεύτηκαν στο npm.
Και οι χάκερ δημιουργούν κακόβουλους ιστότοπους και δημοσιεύουν άδεια πακέτα που περιέχει συνδέσμους σε αυτούς τους κακόβουλους ιστότοπους, εκμεταλλευόμενοι την καλή φήμη των οικοσυστημάτων ανοιχτού κώδικα στις μηχανές αναζήτησης, καθώς και οι επιθέσεις προκάλεσαν άρνηση υπηρεσίας (DoS) που έκανε το NPM ασταθές με σποραδικά σφάλματα «Μη διαθέσιμη υπηρεσία»».
Έχουμε δει καμπάνιες ανεπιθύμητης αλληλογραφίας σε οικοσυστήματα ανοιχτού κώδικα τον περασμένο χρόνο, αλλά αυτός ο μήνας ήταν μακράν ο χειρότερος που έχουμε δει.
Οι επιτιθέμενοι προφανώς βρήκαν μη επαληθευμένα οικοσυστήματα ανοιχτού κώδικα ως εύκολο στόχο για να πραγματοποιήσουν δηλητηρίαση SEO για διάφορες κακόβουλες καμπάνιες. Εφόσον δεν λαμβάνεται το όνομα, μπορούν να δημοσιεύσουν απεριόριστο αριθμό πακέτων.
Συνήθως ο αριθμός των εκδόσεων πακέτων που κυκλοφορούν για το NPM είναι περίπου 800*000. Ωστόσο, τον προηγούμενο μήνα, ο αριθμός αυτός ξεπέρασε τα 1,4 εκατομμύρια λόγω του μεγάλου όγκου των καμπανιών ανεπιθύμητης αλληλογραφίας.
Η τεχνική επίθεσης εκμεταλλεύεται το γεγονός ότι τα αποθετήρια ανοιχτού κώδικα κατατάσσονται υψηλότερα στα αποτελέσματα των μηχανών αναζήτησης για να δημιουργήσετε κακόβουλους ιστότοπους και να κατεβάσετε κενές ενότητες npm με συνδέσμους προς αυτούς τους ιστότοπους σε αρχεία README.md.
Σε αυτήν τη μέθοδο επίθεσης, οι εγκληματίες του κυβερνοχώρου δημιουργούν κακόβουλους ιστότοπους και δημοσιεύουν άδεια πακέτα με συνδέσμους σε αυτούς τους κακόβουλους ιστότοπους. Δεδομένου ότι τα οικοσυστήματα ανοιχτού κώδικα έχουν μεγάλη φήμη στις μηχανές αναζήτησης, όλα τα νέα πακέτα ανοιχτού κώδικα και οι περιγραφές τους κληρονομούν αυτή την καλή φήμη και ευρετηριάζονται καλά στις μηχανές αναζήτησης, καθιστώντας τα πιο ορατά σε μη χρήστες.
Δεδομένου ότι ολόκληρη η διαδικασία είναι αυτοματοποιημένη, η επιβάρυνση που δημιουργήθηκε από την απελευθέρωση πολλών πακέτων οδήγησε το NPM να αντιμετωπίζει κατά διαστήματα προβλήματα σταθερότητας προς τα τέλη Μαρτίου 2023. Ως εκ τούτου, δηλώνεται ότι στόχος αυτής της καμπάνιας είναι να μολύνει το θύμα με ένα κακόβουλο .exe αρχείο.
Μεταξύ των διαφορετικών τεχνικών που χρησιμοποιούνται, αναφέρεται συγκεκριμένα ότι χρησιμοποιείται ένα «δόλωμα» καιπου είναι βασικά ένα πακέτο με μια "δελεαστική περιγραφή warez" στον χρήστη, καθιστώντας πιο πιθανό τα θύματα να αναζητήσουν και να προσγειωθούν σε αυτές τις σελίδες npm.
Από εκεί και πέρα, ο ίδιος χρήστης είναι αυτός που κάνει ό,τι χρειάζεται για να μολυνθεί, γιατί όταν κάνετε κλικ στον σύντομο σύνδεσμο, υπάρχει ένας προσαρμοσμένος ιστότοπος που φαίνεται να είναι νόμιμος, αλλά φιλοξενείται στην υποδομή του χάκερ και προσφέρει λήψη λογισμικού warez.
Με αυτόν τον τρόπο γίνεται λήψη ενός αρχείου zip με κρυπτογράφηση με κωδικό πρόσβασης, το οποίο, όταν εξαχθεί, δημιουργεί ένα μη συμπληρωμένο μέγεθος αρχείου .exe ~600MB. Αυτή η τεχνική χρησιμοποιείται για την αποφυγή ανίχνευσης από EDR.
Μια άλλη τεχνική που χρησιμοποιείται που αναφέρεται είναι ένα που περιλαμβάνουν πλευρική φόρτωση DLL, Αποφυγή εικονικοποίησης/sandbox, απενεργοποιήστε εργαλεία και τείχη προστασίας, απορρίψτε εργαλεία όπως Glupteba, RedLine, Smoke Loader, xmrig και άλλα για να κλέψετε διαπιστευτήρια και να εξορύξετε κρυπτονομίσματα.
Άλλωστε, επίσης αναφέρεται ότι οι επιτιθέμενοι συνδέεται με ιστότοπους λιανικής όπως το AliExpress χρησιμοποιώντας αναγνωριστικά παραπομπής που δημιουργήθηκαν από αυτούς, και έτσι επωφελήθηκαν από τις ανταμοιβές παραπομπής.
Η κλίμακα αυτής της καμπάνιας ήταν σημαντική, καθώς το φορτίο έκανε το NPM να γίνει ασταθές με σποραδικά σφάλματα "Μη διαθέσιμη υπηρεσία".
Ως τέτοια, Η NPM θα πρέπει να λάβει μέτρα για το θέμα και βάλτε ένα τέλος σε αυτού του είδους τα προβλήματα που προκύπτουν συνεχώς στο αποθετήριο αφού ουσιαστικά έχει γίνει «στόχος» για τους χάκερ.