Cyberthreat.id - Peneliti keamanan siber menemukan sekelompok paket jahat baru pada registri paket npm yang dirancang untuk mengekstraksi informasi pengembang yang sensitif.

The Hacker News menuliskan bahwa, perusahaan rantai pasokan perangkat lunak Phylum, yang pertama kali mengidentifikasi paket "uji coba" pada 31 Juli 2023, mengatakan bahwa mereka "menunjukkan peningkatan fungsionalitas dan penyempurnaan".

“Beberapa jam setelah itu dihapus dan diunggah ulang dengan nama paket berbeda yang terdengar sah.”

Sementara tujuan akhir dari usaha tersebut tidak jelas, itu diduga menjadi kampanye yang sangat bertarget yang ditujukan pada sektor cryptocurrency berdasarkan referensi ke modul seperti "rocketrefer" dan "binarium."

Semua paket diterbitkan oleh pengguna npm malikrukd4732. Fitur umum di semua modul adalah kemampuan untuk meluncurkan JavaScript ("index.js") yang dilengkapi untuk mengekstraksi informasi berharga ke server jarak jauh.

"Kode index.js dihasilkan dalam proses anak oleh file preinstall.js," kata tim peneliti Phylum. "Tindakan ini dipicu oleh postinstall hook yang ditentukan dalam file package.json, yang dijalankan saat instalasi paket. Oleh karena itu, tindakan menginstal paket ini saja sudah memulai eksekusi semua kode ini."

Langkah pertama memerlukan pengumpulan nama pengguna sistem operasi saat ini dan direktori kerja saat ini, setelah itu permintaan GET dengan data yang dikumpulkan dikirim ke 185.62.57[.]60:8000/http.

Motivasi pasti di balik tindakan ini saat ini tidak diketahui, meskipun diyakini bahwa informasi tersebut dapat digunakan untuk memicu "perilaku sisi server yang tidak terlihat".

 

Selanjutnya, skrip mulai mencari file dan direktori yang cocok dengan kumpulan ekstensi tertentu: .env, .svn, .gitlab, .hg, .idea, .yarn, .docker, .vagrant, .github, .asp, .js , .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml, dan .cfg.

Data yang dipanen, yang juga dapat berisi kredensial dan kekayaan intelektual yang berharga, pada akhirnya dikirimkan ke server dalam bentuk file arsip ZIP.

"Meskipun direktori ini dapat memiliki informasi sensitif, kemungkinan besar mereka berisi banyak file aplikasi standar yang tidak unik untuk sistem korban dan karenanya kurang berharga bagi penyerang, yang motifnya tampaknya berpusat pada ekstraksi kode sumber atau lingkungan- file konfigurasi tertentu," kata Phylum.

Pengembangan ini adalah contoh terbaru dari repositori sumber terbuka yang digunakan untuk menyebarkan kode berbahaya, dengan ReversingLabs dan Sonatype mengidentifikasi kampanye PyPI yang menggunakan paket python yang mencurigakan seperti VMConnect, quantiumbase, dan ethter untuk menghubungi perintah-dan-kontrol (C2 ) dan coba unduh string berenkode Base64 yang tidak ditentukan dengan perintah tambahan.

"Karena pengambilan perintah dilakukan dalam putaran tanpa akhir, ada kemungkinan operator server C2 mengunggah perintah hanya setelah mesin yang terinfeksi dianggap menarik bagi aktor ancaman," jelas peneliti keamanan Karlo Zanki.

"Atau, server C2 dapat melakukan beberapa jenis pemfilteran permintaan. Misalnya, penyerang dapat memfilter permintaan berdasarkan alamat IP dari mesin yang terinfeksi untuk menghindari menginfeksi target dari negara tertentu."

Terlebih lagi, pelaku ancaman membuat repositori yang sesuai di GitHub, lengkap dengan deskripsi yang tampak sah, untuk membuat paket Python tampak dapat dipercaya, meskipun perilaku jahat dihilangkan -- sebuah tanda bahwa serangan itu merupakan upaya yang disengaja untuk menipu pengembang.

Pada awal Juli 2023, ReversingLabs juga mengungkap sekumpulan 13 modul npm jahat yang diunduh secara kolektif sekitar 1.000 kali sebagai bagian dari kampanye baru yang dijuluki Operation Brainleeches.

Apa yang membuat aktivitas ini menonjol adalah penggunaan beberapa paket untuk memfasilitasi pengambilan kredensial melalui formulir login Microsoft 365 palsu yang diluncurkan dari lampiran email, file JavaScript yang mengambil muatan tahap berikutnya dari jsDelivr, jaringan pengiriman konten (CDN) untuk paket yang dihosting di npm.

Dengan kata lain, modul npm yang diterbitkan bertindak sebagai infrastruktur pendukung untuk menghosting file yang digunakan dalam serangan phishing email serta melakukan serangan rantai pasokan yang ditujukan kepada pengembang.

Yang terakhir dilakukan dengan menanamkan skrip pemanenan kredensial dalam aplikasi yang secara tidak sengaja memasukkan paket npm palsu. Perpustakaan telah diposting ke npm antara 11 Mei dan 13 Juni 2023.

"Salah satu manfaat utama jsDelivr adalah tautan file langsung: Alih-alih menggunakan npm untuk menginstal paket dan mereferensikannya secara lokal, Anda dapat langsung menautkan ke file yang dihosting di CDN jsDelivr," Check Point, yang juga melaporkan kampanye yang sama , dikatakan. "Tetapi [...] bahkan layanan resmi seperti CDN jsDelivr dapat disalahgunakan untuk tujuan jahat."[]