Pacote malicioso do NPM tem como alvo empresa alemã em ataque à cadeia de suprimentos
Em 11 de maio, pesquisadores de segurança cibernética descobriram vários pacotes de software maliciosos no registro do NPM que visavam especificamente algumas empresas de mídia, logística e industriais conhecidas na Alemanha para ataques à cadeia de suprimentos.
“Esta carga útil é mais perigosa do que a maioria dos malwares encontrados em repositórios NPM”, disseram os pesquisadores do JFrog em um relatório. “É um malware altamente sofisticado e ofuscado pelo qual os invasores podem fazer backdoor. Controle total da máquina infectada”.
Com base nas evidências disponíveis, a empresa de DevOps disse que era um comportamento de ameaça sofisticado ou um teste de penetração “muito agressivo”.
Atualmente, a maioria dos pacotes maliciosos foram removidos do registro, e os pesquisadores rastrearam quatro “mantenedores” bertelsmannnpm, boschnodemodules, stihlnodemodules e dbschenkernpm, esses nomes de usuário indicam que eles estão tentando se passar por Bertelsmann, Bosch, Stihl e DB Schenker, uma empresa legítima.
Os nomes de alguns pacotes são tão específicos que significa que o adversário conseguiu identificar bibliotecas nos repositórios internos da empresa para ataques de ofuscação de dependência.
Ataque da cadeia de suprimentos
As descobertas acima vêm de um relatório da Snyk detalhando um dos pacotes ofensivos “gxm-reference-web-aut-server” e afirmando que o malware tinha como alvo uma empresa que tinha o mesmo pacote em seu registro privado.
“É provável que os invasores tenham informações sobre a existência de tal pacote no registro privado da empresa”, disse a equipe de pesquisa de segurança da Snyk.
A Reversing Labs confirmou o hack , dizendo que os módulos maliciosos carregados no NPM tinham um número de versão maior do que os módulos privados, forçando assim o módulo a entrar no ambiente de destino, uma característica distinta de depender de ataques de ofuscação .
O laboratório explicou que “os pacotes privados direcionados da empresa T&L têm as versões 0.5.69 e 4.0.48, o mesmo nome da versão pública do pacote malicioso, mas usa as versões 0.5.70 e 4.0.49”.
JFrog chamou o implante de “desenvolvido internamente”, observando que o malware contém dois componentes, um transmissor que envia informações sobre a máquina infectada para um servidor de telemetria remoto antes de descriptografar e executar o backdoor JavaScript.
O backdoor, embora não tenha um mecanismo de persistência, é projetado para receber e executar comandos codificados e comandos de controle enviados pelo servidor, avaliar código JavaScript arbitrário e fazer upload de arquivos de volta para o servidor.
De acordo com os pesquisadores, o alvo do ataque era muito específico, e continha informações privilegiadas muito confidenciais, e até mesmo o nome de usuário criado no registro do NPM apontava publicamente para a empresa alvo.
A medida ocorre depois que a empresa israelense de segurança cibernética Check Point divulgou uma campanha de roubo de informações de meses que usou malware comercial como AZORult, BitRAT, Raccoon e outros para atacar a indústria automobilística alemã.