Paket Kode npm Berbahaya Dibangun untuk Membajak Server Discord

Serangkaian paket berbahaya di repositori kode manajer paket (npm) Node.js mencari untuk memanen token Discord, yang dapat digunakan untuk mengambil alih akun dan server pengguna yang tidak curiga.

Repositori npm adalah rumah sumber terbuka untuk pengembang JavaScript untuk berbagi dan menggunakan kembali blok kode. Paket dapat mewakili ancaman rantai pasokan mengingat mereka dapat digunakan sebagai blok bangunan di berbagai aplikasi web. Aplikasi apa pun yang dirusak oleh kode berbahaya dapat menyerang penggunanya.

Menurut tim peneliti JFrog Security, dalam hal ini 17 paket berbahaya telah diterbitkan, dengan muatan dan taktik yang bervariasi. Namun, semuanya dibangun untuk menargetkan Discord, platform pertemuan virtual yang digunakan oleh 350 juta pengguna yang memungkinkan komunikasi melalui panggilan suara, panggilan video, pesan teks, dan file.

“Muatan paket bervariasi, mulai dari infostealer hingga remote penuh -akses backdoors, ”kata para peneliti dalam penasehat hari Rabu. “Selain itu, paket-paket tersebut memiliki taktik infeksi yang berbeda, termasuk salah ketik, kebingungan ketergantungan, dan fungsionalitas trojan.”

Ada beberapa alasan, selain basis penggunanya yang besar, bahwa Discord adalah target yang menarik, catat para peneliti:

  • Menggunakan platform sebagai bagian dari menyerang. Discord server sering digunakan sebagai server command-and-control (C2) anonim, mengendalikan trojan akses jarak jauh (RAT) atau bahkan seluruh botnet. Atau, server Discord yang disusupi juga dapat digunakan sebagai saluran eksfiltrasi anonim, karena setiap serangan yang menggunakan kredensial ini akan dilacak ke pengguna yang sah dan bukan penyerang.liu

    <

    ul>iMenyebarkan malware ke pengguna Discord. Akun Discord yang diretas dapat digunakan untuk tujuan rekayasa sosial, untuk terus menyebarkan malware – baik secara manual atau otomatis melalui worm. “Korban jauh lebih mungkin untuk menerima (dan mengeksekusi) file sewenang-wenang dari akun teman di Discord, dibandingkan file yang dikirim oleh orang asing,” menurut JFrog.liu

    <

    ul>iMenjual akun premium yang dicuri. Penyerang mungkin menargetkan akun Discord yang telah membeli Nitro untuk dijual kembali dengan harga murah di pasar online. Discord Nitro berharga $ 100 per tahun dan menawarkan peningkatan seperti emoji dan lencana, ditambah opsi untuk “meningkatkan” kualitas panggilan dan video di server yang dipilih. yang datang lengkap dengan instruksi. Ini dapat digunakan untuk mengembangkan paket yang sarat malware.

    “Setiap peretas pemula dapat melakukan ini dengan mudah dalam hitungan menit,” kata mereka. “Penting untuk dicatat bahwa muatan ini cenderung tidak ditangkap oleh solusi antivirus, dibandingkan dengan pintu belakang RAT penuh, karena pencuri Discord tidak mengubah file apa pun, tidak mendaftarkan dirinya di mana pun (untuk dieksekusi pada boot berikutnya, misalnya ) dan tidak melakukan operasi mencurigakan seperti proses anak pemijahan.”

    Untuk memikat pengguna agar mengunduh paket, proyek jahat menggunakan berbagai taktik. Misalnya, dua dari 17 paket, yang disebut “discord-lofy” dan “discord-selfbot-v14,” menyamar sebagai modifikasi dari perpustakaan resmi discord.js, yang memungkinkan interaksi dengan Discord API.

    “Penulis malware mengambil alih pustaka discord.js asli sebagai basis dan menyuntikkan kode berbahaya yang dikaburkan ke dalam file src/client/actions/UserGet.js,” menurut JFrog, yang menambahkan, “Dalam cara trojan klasik, paket mencoba menyesatkan korban dengan menyalin README.md dari paket aslinya.”

    Lainnya, dijuluki paket “fix-error”, mengklaim “memperbaiki kesalahan di discord selfbot.” Pada kenyataannya, ia menggunakan versi yang dikaburkan dari alat PirateStealer, yang mencuri data pribadi yang disimpan di klien Discord dengan menyuntikkan kode JavaCcript berbahaya – seperti kartu kredit, kredensial login, dan informasi pengenal pribadi (PII).

    “Kode yang disuntikkan memata-matai pengguna dan mengirimkan kembali informasi yang dicuri ke alamat Webhook yang di-hardcode,” para peneliti menjelaskan.

    Sepenuhnya 10 paket menghindari fungsionalitas yang sah atau tertrojan sama sekali, dan sebagai gantinya hanya berisi potongan kecil kode berbahaya, kata peneliti. Ini semua mencuri variabel lingkungan, yang merupakan nilai bernama dinamis yang dapat memengaruhi cara proses yang berjalan akan berperilaku di komputer.

    “Ini adalah muatan yang berbahaya karena variabel lingkungan adalah lokasi utama untuk menyimpan rahasia yang perlu digunakan oleh waktu proses (karena lebih aman daripada menyimpan rahasia dalam penyimpanan teks yang jelas atau meneruskan rahasia melalui variabel baris perintah),” jelas para peneliti. “Jenis mesin yang ditargetkan oleh paket berbahaya ini, yaitu mesin pengembang dan CI/CD, kemungkinan besar berisi rahasia dan kunci akses semacam itu di lingkungan pengguna.”

    Pengelola kode npm telah menghapus paket yang ditandai, yang tetap hidup di aplikasi apa pun yang mereka gunakan.

    Package Repositories di Crosshairs

    Menggunakan paket berbahaya sebagai vektor serangan siber telah menjadi semakin umum, dan tidak hanya di npm. Berikut adalah ikhtisar dari penemuan terbaru:

    <

    ul>

  • Pada bulan Desember, RubyGems, repositori paket sumber terbuka dan manajer untuk bahasa pemrograman web Ruby, menonaktifkan dua paket perangkat lunaknya setelah ditemukan dicampur dengan malware pencuri Bitcoin.liu

    <

    ul>iPada bulan Januari, malware pencuri Discord lainnya ditemukan di npm.liu

    <

    ul>iPada bulan Maret, peneliti melihat paket berbahaya yang menargetkan aplikasi internal untuk Amazon, Lyft, Slack dan Zillow (antara lain) di dalam repositori kode publik npm – yang semuanya mengekstrak informasi sensitif. Serangan itu didasarkan pada penelitian dari peneliti keamanan Alex Birsan, yang menemukan bahwa mungkin saja menyuntikkan kode berbahaya ke alat umum untuk menginstal dependensi dalam proyek pengembang. Proyek semacam itu biasanya menggunakan repositori publik dari situs seperti GitHub. Kode berbahaya kemudian dapat menggunakan dependensi ini untuk menyebarkan malware melalui aplikasi dan sistem internal perusahaan yang ditargetkan.liu

    <

    ul>iPada bulan Juni, sekelompok cryptominer ditemukan telah menyusup ke Python Package Index (PyPI), yang merupakan gudang kode perangkat lunak yang dibuat di Bahasa pemrograman python. Peneliti menemukan enam paket berbahaya yang bersembunyi di PyPI, yang memiliki 5.000 unduhan kolektif.liu

      iDan pada bulan Juli, paket pencuri kredensial yang menggunakan alat pemulihan sandi yang sah di browser web Google Chrome ditemukan bersembunyi di npm.

    “Kami menyaksikan rentetan perangkat lunak berbahaya baru-baru ini yang dihosting dan dikirim melalui repositori perangkat lunak sumber terbuka, ”menurut peneliti JFrog. “Repositori publik telah menjadi instrumen yang berguna untuk distribusi malware: server repositori adalah sumber tepercaya, dan komunikasi dengannya tidak menimbulkan kecurigaan terhadap antivirus atau firewall apa pun. Selain itu, kemudahan instalasi melalui alat otomatisasi seperti klien npm, menyediakan vektor serangan yang matang.”

    Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

    Daftar SEKARANG untuk acara LANGSUNG!

    Tulis komentar
    Bagikan artikel ini:

  • Malwareliu
      iKeamanan Web