Pachetul NPM a fost prins furând parole cu ajutorul instrumentului de recuperare a conturilor Chrome

de | august 11, 2021 | Știri de securitate cibernetică

Ca parte a unui complex lanț de aprovizionare, un alt atac a fost descoperit sub forma unui program malware de furt de parole, fiind ascuns în fondul de cod open-source npm. Codul fură parolele de Chrome pe sistemele Windows.

Cercetătorii au descoperit că fragmentul de cod malițios exploatează instrumentele actuale de recuperare a parolei din browserul web Chrome al Google. De asemenea, malware-ul pare a fi multifuncțional, permițând atacatorului să facă înregistrări de pe ecranul și camera victimei, să execute comenzi shell și să încarce fișiere.

Ce este NPM?

NPM (prescurtare pentru Node Package Manager) este managerul de pachete implicit pentru mediul de execuție JavaScript Node.js, care este construit pe motorul JavaScript V8 al Chrome.

NPM găzduiește un număr uimitor de 1,5 milioane de pachete unice și livrează mai mult de 1 miliard de cereri de pachete JavaScript într-o zi, către aproximativ 11 milioane de dezvoltatori din întreaga lume.

Folosirea instrumentului Google ChromePass pentru a obține parole

NPM conține mai multe tipuri de fișiere executabile, cum ar fi PE, ELF și Mach-O. Cercetătorii de la ReversingLabs au declarat într-o postare recentă că au descoperit un intrigant fișier executabil Windows încorporat în sistem: un dispozitiv de furt de parole etichetat „Win32.Infostealer.Heuristics”. Fișierul a fost găsit în două pachete: nodejs_net_server și temptesttempfile.

Principala amenințare pare să fie primul pachet, nodejs_net_server, cu 12 versiuni lansate și mai mult de 1.300 de descărcări din februarie 2019, de când a fost publicat pentru prima dată. Cineva sub numele „chrunlee” a făcut ultima actualizare. Dezvoltatorul este, de asemenea, activ pe GitHub, unde lucrează cu 61 arhive de programe.

Un malware care fură parole a fost găsit într-un pachet NPM.
nodejs_net_server package summary. Credit: ReversingLabs.
chrunlee’s github profile. Credit: ReversingLabs.

Cercetătorii au găsit fișierul Win32.Infostealer.Heuristics în diferite versiuni ale pachetului nodejs_net_server. Numele original al fișierului era „a.exe” și era amplasat în folderul „lib”. a.exe s-a dovedit a fi un utilitar numit ChromePass, care este un instrument legitim de recuperare care restaurează credențialele stocate într-un browser web Chrome.

În decembrie anul trecut, chrunlee a actualizat pachetul malițios cu un script pentru a descărca un dispozitiv de furt de parole. Dezvoltatorul deține programul malware pe un site web personal. Ulterior, acesta a fost modificat pentru a rula TeamViewer.exe în locul lui, „probabil pentru că autorul nu a dorit să existe o legătură atât de evidentă între programul malware și site-ul său web”, au teoretizat cercetătorii de la ReversingLabs.

Al doilea pachet, temptesttempfile, însumează peste 800 de descărcări. Acesta i-a lăsat pe cercetători fără răspuns, deoarece „linkurile de pe pagina de pornire și din depozitul GitHub către acest pachet duc la pagini web inexistente”, au observat analiștii. Scopul acestui pachet special rămâne neclar, potrivit cercetătorilor.

Oops! Din greșeală, hackerul și-a expus propriile credențiale

Am putea să dăm vina pe karma, dar chrunlee a publicat din greșeală propriile parole de conectare și numele de utilizator stocate, alături de codul de sustragere a parolelor. „Se pare că versiunile publicate 1.1.1 și 1.1.2 din arhiva npm includ rezultatele testării instrumentului ChromePass pe computerul personal al autorului. Aceste credențiale de autentificare au fost stocate în fișierul „a.txt”, aflat în același dosar cu instrumentul de recuperare a parolei, numit „a.exe”.”

„Se pare că versiunile publicate 1.1.1 și 1.1.2 din arhiva npm includ rezultatele testării instrumentului ChromePass pe calculatorul personal al autorului. Aceste credențiale de autentificare au fost stocate în fișierul „a.txt”, aflat în același dosar cu instrumentul de recuperare a parolei, numit „a.exe”.”

ReversingLabs

De asemenea, este amuzant faptul că fișierul text conține 282 de credențiale de autentificare din browserul lui chrunlee, cu parole jalnice precum „111” și nume de utilizator precum „admin”.

Datele contului de utilizator chrunlee recuperate din propriul browser. Credit: ReversingLabs.

Pachetele cu probleme sunt acum eliminate

După ce a descoperit cele două amenințări, ReversingLabs a contactat echipa de securitate NPM pe 2 iulie și i-a anunțat despre nodejs_net_server și temptesttempfile. Din nefericire, echipa nu a reușit să elimine pachetele din arhivă de prima dată, așa că ReversingLabs i-a contactat din nou săptămâna trecută.

Un reprezentant GitHub a declarat că „Ambele pachete au fost eliminate în urma investigației noastre”.

Nu este prima deturnare NPM

NPM a mai fost infectat cu cod toxic. La începutul acestui an, trei pachete malware au fost publicate pe NPM. Acestea furau token-uri și alte informații de la utilizatorii de Discord.

Alte două atacuri au avut loc în 2018: în iulie, un atacator a compromis informațiile de conectare ale unui agent de întreținere ESLint și a publicat versiuni malițioase ale popularelor „eslint-scope” și „eslint-config-eslint”.

în noiembrie 2018, a fost găsit un alt pachet malițios: era o anexă la versiunea 3.3.6 a popularului pachet „event-stream”. Pachetul malițios, denumit „flatmap-stream”, conținea o încărcătură criptată adaptată pentru a fura Bitcoins din aplicația Copay.

Formarea în domeniul conștientizării securității este un factor cheie pentru a vă menține compania în siguranță în fața pericolelor online.

Acum este momentul să nu mai riscați viitorul afacerii dvs. și să obțineți o ofertă pentru programul solid și cuprinzător de instruire în domeniul conștientizării securității de la ATTACK Simulator.

Surse:

ThreatPost threatpost.com/npm-package-steals-chrome-passwords

OODA Loop www.oodaloop.com/npm-package-steals-passwords-via-chromes-account-recovery-tool

Atribuire

Imagine de Gino Crescoli pe Pixabay

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.