Nov 28, 2024Ravie LakshmananSoftware Security / Uvunjaji Data Watafiti wa Cybersecurity wamegundua shambulio la ugavi wa programu ambalo limeendelea kutumika kwa zaidi ya mwaka mmoja kwenye sajili ya kifurushi cha npm kwa kuanza kama maktaba isiyo na hatia na baadaye kuongeza msimbo hasidi ili kuiba data nyeti. na kuchimba cryptocurrency kwenye mifumo iliyoambukizwa. Kifurushi hiki, kilichopewa jina @0xengine/xmlrpc, kilichapishwa awali tarehe 2 Oktoba 2023 kama seva ya XML-RPC yenye msingi wa JavaScript na mteja wa Node.js. Imepakuliwa mara 1,790 hadi sasa na bado inapatikana kwa kupakuliwa kutoka kwa hazina. Checkmarx, ambayo iligundua kifurushi, ilisema nambari mbaya ilianzishwa kimkakati katika toleo la 1.3.4 siku moja baadaye, ikihifadhi utendaji wa kuvuna habari muhimu kama vile funguo za SSH, historia ya bash, metadata ya mfumo, na anuwai za mazingira kila baada ya masaa 12, na kuifuta. kupitia huduma kama vile Dropbox na file.io. “Shambulio lilifanikisha usambazaji kupitia vekta nyingi: usakinishaji wa moja kwa moja wa npm na kama utegemezi uliofichwa katika hazina inayoonekana halali,” mtafiti wa usalama Yehuda Gelb alisema katika ripoti ya kiufundi iliyochapishwa wiki hii. Njia ya pili inahusisha hazina ya mradi wa GitHub inayoitwa yawpp (fupi kwa “Bango Lingine la WordPress”) ambalo linalenga kuwa zana iliyoundwa kuunda machapisho kwenye jukwaa la WordPress. Faili yake ya “package.json” huorodhesha toleo jipya zaidi la @0xengine/xmlrpc kama tegemezi, na hivyo kusababisha kifurushi hasidi cha npm kupakuliwa na kusakinishwa kiotomatiki watumiaji wanapojaribu kusanidi zana ya yawpp kwenye mifumo yao. Kwa sasa haijulikani ikiwa msanidi wa zana aliongeza kimakusudi kifurushi hiki kama tegemezi. Hifadhi imegawanywa mara moja kama ilivyoandikwa. Bila kusema, mbinu hii ni njia nyingine bora ya usambazaji wa programu hasidi kwani inanyonya uaminifu wa watumiaji katika utegemezi wa kifurushi. Baada ya kusakinishwa, programu hasidi imeundwa kukusanya taarifa za mfumo, kuthibitisha uthabiti kwa seva pangishi kupitia systemd, na kupeleka mchimbaji wa XMRig cryptocurrency. Takriban mifumo 68 iliyoathiriwa imepatikana ili kuchimba sarafu ya siri kupitia pochi ya mvamizi ya Monero. Zaidi ya hayo, ina vifaa vya kufuatilia mara kwa mara orodha ya michakato inayoendeshwa ili kuangalia uwepo wa amri kama vile top, iostat, sar, glances, dstat, nmon, vmstat, na ps, na kusitisha michakato yote inayohusiana na uchimbaji madini ikipatikana. Pia ina uwezo wa kusimamisha shughuli za uchimbaji madini ikiwa shughuli ya mtumiaji itatambuliwa. “Ugunduzi huu unatumika kama ukumbusho kamili kwamba maisha marefu ya kifurushi na historia ya matengenezo thabiti haihakikishi usalama wake,” Gelb alisema. “Iwapo vifurushi hasidi au vilivyo halali vinaathiriwa kupitia masasisho, msururu wa usambazaji wa programu unahitaji uangalifu wa mara kwa mara – wakati wa ukaguzi wa awali na katika mzunguko wa maisha wa kifurushi.” Ufichuzi huo unakuja wakati Maabara ya Usalama ya Datadog ilifichua kampeni mbovu inayoendelea inayolenga watumiaji wa Windows ambayo hutumia vifurushi ghushi vilivyopakiwa kwa npm na hazina za Python Package Index (PyPI) kwa lengo la mwisho la kupeleka programu hasidi ya wizi wa chanzo-wazi inayojulikana kama Blank-Grabber na Skuld. Mwizi. Kampuni, ambayo iligundua shambulio la ugavi mwezi uliopita, inafuatilia nguzo ya tishio chini ya jina MUT-8694 (ambapo MUT inasimama kwa “tishio la kushangaza lisilohusishwa”), ikisema inaingiliana na kampeni ambayo iliandikwa na Socket mapema mwezi huu kama. ikilenga kuwaambukiza watumiaji wa Roblox programu hasidi sawa. Vifurushi vingi vya kipekee vya ghushi 18 na 39 vimepakiwa kwa npm na PyPI, huku maktaba zikijaribu kupitisha kama vifurushi halali kwa kutumia mbinu za kuchapa. “Matumizi ya vifurushi vingi na ushirikishwaji wa watumiaji kadhaa hasidi unapendekeza MUT-8694 inaendelea katika majaribio yao ya kuhatarisha watengenezaji,” watafiti wa Datadog walisema. “Kinyume na mfumo ikolojia wa PyPI, vifurushi vingi vya npm vilikuwa na marejeleo ya Roblox, jukwaa la kuunda mchezo wa mtandaoni, na kupendekeza kuwa mwigizaji tishio analenga wasanidi wa Roblox haswa.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.