Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Специалисты DevOps-компании JFrog обнаружили в репозитории npm 218 вредоносных пакетов, предназначенных для использования в проектах на основе SDK Azure. Получив уведомление, операторы веб-сервиса быстро удалили опасные находки, однако к тому времени их успели скачать в среднем по 50 раз.

Согласно блог-записи JFrog, внедренный в npm-пакеты зловред нацелен на кражу персональных данных, позволяющих установить личность (personal identifiable information, PII). Чтобы скрыть истинные намерения, автор новой атаки на цепочку поставок применил тайпсквоттинг — позаимствовал имена легитимных библиотек, но без префикса @azure.

По всей видимости, этот элемент социальной инженерии рассчитан на невнимательность пользователей: npm-пакеты, ориентированные на Microsoft Azure, еженедельно скачивают десятки миллионов раз, но при установке разработчик может по ошибке опустить @azure, отдавая команду npm install.

Чтобы отвести от себя подозрения, злоумышленник публиковал свои пакеты под уникальными юзернеймами, используя скрипт для автоматизации процесса. Он также фальсифицировал номера версий, выдавая зловреда за новый вариант хорошо известной библиотеки (например, за сборку 99.10.9), то есть создавал задел для атаки вида «путаница зависимостей».

Экспресс-тест показал, что вредоносный код, распространяемый в рамках выявленной кампании, запускается автоматически после установки пакета и сливает на сторону следующую информацию:

  • листинг каталогов C:\, D:\, / и /home;
  • имя пользователя;
  • домашний каталог пользователя;
  • текущий рабочий каталог;
  • IP-адреса всех сетевых интерфейсов;
  • IP-адреса серверов DNS в настройках;
  • имя (успешно) установленного вредоносного пакета.

Все эти данные выводятся на удаленный сервер двумя способами: через HTTPS-запрос POST или DNS-запрос, в который вставлена вся украденная информация в виде шестнадцатеричного числа. Имя узла назначения (425a2[.]rt11[.]ml) вшито в код зловреда.

Исследователи полагают, что вредоносная полезная нагрузка в данном случае используется для проведения разведки перед боем, и за ней может последовать более серьезная угроза. Не исключено также, что это попытка выявить уязвимости в популярном софте для Azure и получить от Microsoft премию в рамках программы bug bounty.

Целевые атаки при помощи вредоносных загрузок в npm, PyPI и другие публичные хранилища кодов нередки, и операторы таких веб-сервисов стараются быстро реагировать на такие инциденты. Исследователи из JFrog выслали уведомление о новых находках через два дня после их публикации, и в npm все оперативно вычистили, но зловред все-таки успел проникнуть на тысячи устройств.

Снизить риски в отношении подобных атак, по мнению экспертов, поможет более тщательная проверка публикаций в репозиториях, а также усиление защиты. Можно, к примеру, включить в процедуру регистрации тест CAPTCHA — он затруднит массовое создание аккаунтов, и вычислить злоумышленника станет проще.

ГК «Солар» и SEG-T разрабатывают почтовый шлюз с ИИ-фильтрацией

Ко-фаундер Secure-T Харитон Никишкин при поддержке ГК «Солар» запустил разработку решения SEG-T для защиты корпоративной почты. Продукт относится к классу security email gateway и должен фильтровать входящий и исходящий почтовый трафик с помощью мультиагентного ИИ.

Разработчики связывают запуск проекта с ростом фишинговых атак.

Сегодня такие кампании всё чаще собираются из готовых инструментов: панелей управления, инфраструктуры рассылки, антибот-механизмов, модулей перехвата одноразовых кодов и других компонентов. Дополнительно атакующие используют ИИ, чтобы быстрее готовить убедительные письма и масштабировать обман.

SEG-T должен анализировать сообщения не только по техническим признакам, но и по смыслу. ИИ будет оценивать тональность письма, признаки манипуляции, попытки вызвать доверие, страх или срочно подтолкнуть адресата к действию. Также система сможет блокировать письма со ссылками, архивами, PDF, исполняемыми файлами, SVG и другими вложениями, которые могут содержать вредоносный контент.

От отдельной встроенной «песочницы» разработчики отказались. По их оценке, значительная часть современных атак строится не на вредоносном коде, а на социальной инженерии: подмене отправителя, психологическом давлении и попытках заставить пользователя самому выполнить нужное действие. Для критичных вложений при этом планируют оставить возможность подключать внешние «песочницы».

Решение также предполагается использовать вместе с другими продуктами «Солара»: например, с Solar webProxy для проверки трафика и Solar Dozor для контроля пересылки персональных данных — ИНН, СНИЛС, паспортных данных и номеров банковских карт.

SEG-T будет доступен в облаке, локальной сети и Kubernetes. По заявлению разработчиков, запуск продукта в эксплуатацию в среднем должен занимать около 15 минут.

В проекте «Солару» принадлежит 49%. Ранее компания уже увеличила долю в Secure-T до контрольного пакета. Новый проект продолжает направление, связанное с защитой от фишинга, спама, вредоносных рассылок и атак на корпоративную почту.

RSS: Новости на портале Anti-Malware.ru