Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Специалисты DevOps-компании JFrog обнаружили в репозитории npm 218 вредоносных пакетов, предназначенных для использования в проектах на основе SDK Azure. Получив уведомление, операторы веб-сервиса быстро удалили опасные находки, однако к тому времени их успели скачать в среднем по 50 раз.

Согласно блог-записи JFrog, внедренный в npm-пакеты зловред нацелен на кражу персональных данных, позволяющих установить личность (personal identifiable information, PII). Чтобы скрыть истинные намерения, автор новой атаки на цепочку поставок применил тайпсквоттинг — позаимствовал имена легитимных библиотек, но без префикса @azure.

По всей видимости, этот элемент социальной инженерии рассчитан на невнимательность пользователей: npm-пакеты, ориентированные на Microsoft Azure, еженедельно скачивают десятки миллионов раз, но при установке разработчик может по ошибке опустить @azure, отдавая команду npm install.

Чтобы отвести от себя подозрения, злоумышленник публиковал свои пакеты под уникальными юзернеймами, используя скрипт для автоматизации процесса. Он также фальсифицировал номера версий, выдавая зловреда за новый вариант хорошо известной библиотеки (например, за сборку 99.10.9), то есть создавал задел для атаки вида «путаница зависимостей».

Экспресс-тест показал, что вредоносный код, распространяемый в рамках выявленной кампании, запускается автоматически после установки пакета и сливает на сторону следующую информацию:

  • листинг каталогов C:\, D:\, / и /home;
  • имя пользователя;
  • домашний каталог пользователя;
  • текущий рабочий каталог;
  • IP-адреса всех сетевых интерфейсов;
  • IP-адреса серверов DNS в настройках;
  • имя (успешно) установленного вредоносного пакета.

Все эти данные выводятся на удаленный сервер двумя способами: через HTTPS-запрос POST или DNS-запрос, в который вставлена вся украденная информация в виде шестнадцатеричного числа. Имя узла назначения (425a2[.]rt11[.]ml) вшито в код зловреда.

Исследователи полагают, что вредоносная полезная нагрузка в данном случае используется для проведения разведки перед боем, и за ней может последовать более серьезная угроза. Не исключено также, что это попытка выявить уязвимости в популярном софте для Azure и получить от Microsoft премию в рамках программы bug bounty.

Целевые атаки при помощи вредоносных загрузок в npm, PyPI и другие публичные хранилища кодов нередки, и операторы таких веб-сервисов стараются быстро реагировать на такие инциденты. Исследователи из JFrog выслали уведомление о новых находках через два дня после их публикации, и в npm все оперативно вычистили, но зловред все-таки успел проникнуть на тысячи устройств.

Снизить риски в отношении подобных атак, по мнению экспертов, поможет более тщательная проверка публикаций в репозиториях, а также усиление защиты. Можно, к примеру, включить в процедуру регистрации тест CAPTCHA — он затруднит массовое создание аккаунтов, и вычислить злоумышленника станет проще.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MS перевыпустила последний апдейт Exchange, сломавший доставку почты

После установки обновления для Microsoft Exchange Server от 12 ноября админы стали жаловаться на сбой обработки корпоративной почты. Разработчик исправил апдейт и выпустил новую версию, убрав проблемный пакет из загрузок и Центра обновления Windows.

В накопительное обновление KB5044062, вышедшее в рамках ноябрьского «вторника патчей», была включена заплатка для уязвимости CVE-2024-49040 (спуфинг отправителя) — видимо, она и послужила причиной нарушения работы почтовых серверов.

Согласно блог-записи Microsoft, проблемы возникли там, где используются кастомные правила транспорта и защиты от утечек данных (DLP). Эти ограничения стали отваливаться с заметной периодичностью.

Ситуацию исправит установка пакета KB5049233, уже доступного в Центре загрузок Microsoft. Те, кто выставил автообновление, получат его в следующем месяце (раздача через Windows Update была отложена из-за празднования Дня благодарения в США).

После применения исправленного патча к CVE-2024-49040 письма с подозрением на эксплойт будут по умолчанию отслеживаться и маркироваться как потенциальная угроза (при включенных настройках Secure by Default).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru