Ca parte a unui complex lanț de aprovizionare, un alt atac a fost descoperit sub forma unui program malware de furt de parole, fiind ascuns în fondul de cod open-source npm. Codul fură parolele de Chrome pe sistemele Windows.
Cercetătorii au descoperit că fragmentul de cod malițios exploatează instrumentele actuale de recuperare a parolei din browserul web Chrome al Google. De asemenea, malware-ul pare a fi multifuncțional, permițând atacatorului să facă înregistrări de pe ecranul și camera victimei, să execute comenzi shell și să încarce fișiere.
Ce este NPM?
NPM (prescurtare pentru Node Package Manager) este managerul de pachete implicit pentru mediul de execuție JavaScript Node.js, care este construit pe motorul JavaScript V8 al Chrome.
NPM găzduiește un număr uimitor de 1,5 milioane de pachete unice și livrează mai mult de 1 miliard de cereri de pachete JavaScript într-o zi, către aproximativ 11 milioane de dezvoltatori din întreaga lume.
Folosirea instrumentului Google ChromePass pentru a obține parole
NPM conține mai multe tipuri de fișiere executabile, cum ar fi PE, ELF și Mach-O. Cercetătorii de la ReversingLabs au declarat într-o postare recentă că au descoperit un intrigant fișier executabil Windows încorporat în sistem: un dispozitiv de furt de parole etichetat „Win32.Infostealer.Heuristics”. Fișierul a fost găsit în două pachete: nodejs_net_server și temptesttempfile.
Principala amenințare pare să fie primul pachet, nodejs_net_server, cu 12 versiuni lansate și mai mult de 1.300 de descărcări din februarie 2019, de când a fost publicat pentru prima dată. Cineva sub numele „chrunlee” a făcut ultima actualizare. Dezvoltatorul este, de asemenea, activ pe GitHub, unde lucrează cu 61 arhive de programe.
Cercetătorii au găsit fișierul Win32.Infostealer.Heuristics în diferite versiuni ale pachetului nodejs_net_server. Numele original al fișierului era „a.exe” și era amplasat în folderul „lib”. a.exe s-a dovedit a fi un utilitar numit ChromePass, care este un instrument legitim de recuperare care restaurează credențialele stocate într-un browser web Chrome.
În decembrie anul trecut, chrunlee a actualizat pachetul malițios cu un script pentru a descărca un dispozitiv de furt de parole. Dezvoltatorul deține programul malware pe un site web personal. Ulterior, acesta a fost modificat pentru a rula TeamViewer.exe în locul lui, „probabil pentru că autorul nu a dorit să existe o legătură atât de evidentă între programul malware și site-ul său web”, au teoretizat cercetătorii de la ReversingLabs.
Al doilea pachet, temptesttempfile, însumează peste 800 de descărcări. Acesta i-a lăsat pe cercetători fără răspuns, deoarece „linkurile de pe pagina de pornire și din depozitul GitHub către acest pachet duc la pagini web inexistente”, au observat analiștii. Scopul acestui pachet special rămâne neclar, potrivit cercetătorilor.
Oops! Din greșeală, hackerul și-a expus propriile credențiale
Am putea să dăm vina pe karma, dar chrunlee a publicat din greșeală propriile parole de conectare și numele de utilizator stocate, alături de codul de sustragere a parolelor. „Se pare că versiunile publicate 1.1.1 și 1.1.2 din arhiva npm includ rezultatele testării instrumentului ChromePass pe computerul personal al autorului. Aceste credențiale de autentificare au fost stocate în fișierul „a.txt”, aflat în același dosar cu instrumentul de recuperare a parolei, numit „a.exe”.”
„Se pare că versiunile publicate 1.1.1 și 1.1.2 din arhiva npm includ rezultatele testării instrumentului ChromePass pe calculatorul personal al autorului. Aceste credențiale de autentificare au fost stocate în fișierul „a.txt”, aflat în același dosar cu instrumentul de recuperare a parolei, numit „a.exe”.”
ReversingLabs
De asemenea, este amuzant faptul că fișierul text conține 282 de credențiale de autentificare din browserul lui chrunlee, cu parole jalnice precum „111” și nume de utilizator precum „admin”.
Pachetele cu probleme sunt acum eliminate
După ce a descoperit cele două amenințări, ReversingLabs a contactat echipa de securitate NPM pe 2 iulie și i-a anunțat despre nodejs_net_server și temptesttempfile. Din nefericire, echipa nu a reușit să elimine pachetele din arhivă de prima dată, așa că ReversingLabs i-a contactat din nou săptămâna trecută.
Un reprezentant GitHub a declarat că „Ambele pachete au fost eliminate în urma investigației noastre”.
Nu este prima deturnare NPM
NPM a mai fost infectat cu cod toxic. La începutul acestui an, trei pachete malware au fost publicate pe NPM. Acestea furau token-uri și alte informații de la utilizatorii de Discord.
Alte două atacuri au avut loc în 2018: în iulie, un atacator a compromis informațiile de conectare ale unui agent de întreținere ESLint și a publicat versiuni malițioase ale popularelor „eslint-scope” și „eslint-config-eslint”.
în noiembrie 2018, a fost găsit un alt pachet malițios: era o anexă la versiunea 3.3.6 a popularului pachet „event-stream”. Pachetul malițios, denumit „flatmap-stream”, conținea o încărcătură criptată adaptată pentru a fura Bitcoins din aplicația Copay.
Formarea în domeniul conștientizării securității este un factor cheie pentru a vă menține compania în siguranță în fața pericolelor online.
Acum este momentul să nu mai riscați viitorul afacerii dvs. și să obțineți o ofertă pentru programul solid și cuprinzător de instruire în domeniul conștientizării securității de la ATTACK Simulator.
Surse:
ThreatPost threatpost.com/npm-package-steals-chrome-passwords
OODA Loop www.oodaloop.com/npm-package-steals-passwords-via-chromes-account-recovery-tool
Atribuire
Imagine de Gino Crescoli pe Pixabay
