Researchers telah menemukan ratusan paket berbahaya di repositori npm kode JavaScript open-source, yang dirancang untuk mencuri informasi pengenal pribadi (PII) dalam serangan typosquatting skala besar terhadap pengguna cloud Microsoft Azure.
Itu menurut tim Riset Keamanan JFrog, yang mengatakan bahwa kumpulan paket muncul awal minggu ini dan terus bertambah sejak saat itu, dari sekitar 50 paket menjadi lebih dari 200.
Typosquatting mengacu pada praktik penamaan file peniru berbahaya, paket, alamat web, dan sebagainya dengan nama yang begitu mirip dengan penawaran sah yang ada sehingga pengamat biasa mungkin tidak melihat perbedaannya. Contoh salah ketik akan menggunakan "www.go0gle.com" ("o" kedua sebenarnya adalah nol) untuk memikat korban ke lubang berair - jelas mencoba menyamar sebagai mesin pencari di mana-mana.
Dalam hal ini, penyerang cyber berpura-pura menawarkan set kunci dari paket yang ada dan sah untuk Azure.
“Menjadi jelas bahwa ini adalah serangan yang ditargetkan terhadap seluruh lingkup @azure npm, oleh penyerang yang menggunakan skrip otomatis untuk membuat akun dan mengunggah paket berbahaya yang mencakup keseluruhan ruang lingkup itu, ”kata para peneliti dalam posting hari Rabu. “Penyerang hanya membuat paket baru (berbahaya) dengan nama yang sama dengan paket cakupan @azure yang ada, tetapi menghapus nama cakupannya.” Cakupan
Npm adalah cara mengelompokkan paket terkait. JFrog menemukan bahwa selain lingkup @azure, grup paket populer lainnya juga menjadi sasaran, termasuk @azure-rest, @azure-tests, @azure-tools dan @cadl-lang.
Para peneliti menambahkan, “Penyerang mengandalkan fakta bahwa beberapa pengembang mungkin secara keliru menghilangkan awalan @azure saat memasang sebuah paket. Misalnya, menjalankan npm install core-tracing secara tidak sengaja, alih-alih perintah yang benar – npm install @azure/core-tracing.”
Penyerang juga mencoba menyembunyikan fakta bahwa semua paket jahat diunggah oleh penulis yang sama, “ dengan membuat pengguna unik (dengan nama yang dibuat secara acak) per setiap paket berbahaya yang diunggah,” menurut JFrog.
Npm: Ripe for Software Supply-Chain Attacks
Sayangnya, sementara JFrog melaporkan paket untuk dihapus dari npm itu sendiri, pengembang bisa saja menariknya kode berbahaya ke sejumlah aplikasi yang masih mengancam pengguna Azure.
Npm adalah repositori paket JavaScript yang paling sering diunduh yang digunakan oleh pengembang untuk membangun aplikasi web, dan dengan demikian, semakin menjadi sasaran pelaku jahat untuk melakukan pasokan perangkat lunak- serangan berantai. Aplikasi apa pun yang menggunakan blok kode berbahaya dapat menyajikan pencurian data kepada penggunanya (seperti dalam kasus khusus ini), atau ancaman lain seperti cryptojacking, pengiriman botnet, dan lainnya.
Dalam kampanye ini, jumlah aplikasi Azure yang dapat membawa kesengsaraan bagi pengguna bisa tinggi, peneliti JFrog memperingatkan.
“Karena kumpulan paket yang sah ini diunduh puluhan juta kali setiap minggu, ada kemungkinan besar bahwa beberapa pengembang akan berhasil tertipu oleh serangan typosquatting,” para peneliti memperingatkan. Dari penilaian JFrog, jumlah unduhan paket rata-rata sekitar 50 unduhan per paket berbahaya.
Karena skala serangan, jelas bahwa penyerang menggunakan skrip untuk mengunggah paket berbahaya, tambah mereka – yang menyoroti fakta bahwa repositori kode dan manajer paket dapat berbuat lebih banyak untuk melindungi rantai pasokan perangkat lunak.
“Karena meningkatnya serangan rantai pasokan, terutama melalui repositori paket npm dan PyPI, tampaknya lebih banyak pengawasan dan mitigasi harus ditambahkan [ oleh manajer paket],” menurut JFrog. “Misalnya, menambahkan mekanisme CAPTCHA pada pembuatan pengguna npm tidak akan memungkinkan penyerang dengan mudah membuat sejumlah pengguna yang sewenang-wenang dari mana paket berbahaya dapat diunggah, membuat identifikasi serangan lebih mudah (serta memungkinkan pemblokiran paket berdasarkan heuristik pada pengunggahan). account).”
Npm for PII Theft & Reconnaissance
Dari sudut pandang teknis, JFrog menemukan bahwa kode berbahaya berjalan secara otomatis setelah paket diinstal, mengangkat nama pengguna pengguna, direktori home, direktori kerja saat ini, alamat IP dari semua antarmuka jaringan, alamat IP server DNS yang dikonfigurasi dan nama paket penyerangan (berhasil).
Maksud penulis masih agak tidak jelas, tambah peneliti.
“Kami menduga bahwa muatan berbahaya ini dimaksudkan untuk pengintaian awal pada target yang rentan (sebelum mengirim payload) atau sebagai upaya berburu bug-bounty terhadap pengguna Azure (dan mungkin Microsoft pengembang),” kata mereka.
Melindungi Aplikasi Azure dari Paket Berbahaya
Pengembang Azure harus memeriksa kode mereka untuk dependensi berbahaya yang mungkin telah diimpor minggu ini, menghapus semua yang mereka temukan. JFrog mencatat bahwa ini dapat dilakukan dengan cukup efisien.
“Pastikan paket yang Anda instal adalah paket yang sah, dengan memeriksa apakah namanya dimulai dengan lingkup @azure*,” jelas mereka.
Mereka menambahkan, ini dapat dilakukan dengan mengubah saat ini direktori ke proyek npm yang membutuhkan pengujian, dan jalankan perintah berikut:
npm list | grep -f package.txt, di mana "packages.txt" berisi daftar lengkap paket yang terpengaruh.
Daftar lengkap paket berbahaya dapat ditemukan di lampiran JFrog untuk postingnya di serangan.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang solid tentang cara mempertahankan aset Anda dengan eBuku yang dapat diunduh GRATIS, “Cloud Security: The Forecast for 2022”. Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk kesuksesan keamanan dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iMalwareli
- Web Security
