В репозитории npm был обнаружен новый набор из 48 вредоносных пакетов npm, обладающих возможностями развертывания обратной оболочки на скомпрометированных системах.
"Эти пакеты, названные обманчиво, чтобы казаться легитимными, содержали запутанный JavaScript, предназначенный для запуска обратной оболочки при установке пакета", - сказали в фирме Phylum, занимающейся безопасностью цепочки поставок программного обеспечения.
Все поддельные пакеты были опубликованы пользователю npm с именем valent (GitHub, ,X,,). На момент написания статьи 39 или другие пакеты, загруженные автором, все еще доступны для скачивания.
Цепочка атак запускается после установки пакета с помощью перехвата install в package.json, который вызывает код JavaScript для установки обратной оболочки для rsh.51pwn[.]com.
"В данном конкретном случае злоумышленник опубликовал десятки безобидно выглядящих пакетов с несколькими слоями или запутывающими и вводящими в заблуждение тактиками в попытке в конечном итоге развернуть обратную оболочку на любой машине, которая просто устанавливает один из этих пакетов", - сказал Филум.
Выводы следуют за разоблачениями о том, что два пакета, опубликованные в Python Package Index (PyPI) под прикрытием упрощения интернационализации, содержали вредоносный код, предназначенный для перекачки конфиденциальных данных настольного приложения Telegram и системной информации.
Было обнаружено, что пакеты с именами localization-utils и locute извлекают конечную полезную нагрузку из динамически сгенерированного URL-адреса Pastebin и передают информацию в Telegram-канал, управляемый исполнительным механизмом.
Разработка подчеркивает растущий интерес участников угроз к средам с открытым исходным кодом, которые позволяют им организовывать эффективные атаки по цепочке поставок, которые могут быть нацелены на нескольких нижестоящих клиентов одновременно.
"Эти пакеты демонстрируют целенаправленные и тщательно продуманные усилия по предотвращению обнаружения с помощью статического анализа и визуального контроля с использованием различных методов обфускации", - сказал Филум, добавив, что они "служат еще одним ярким напоминанием о критическом характере или зависимом доверии в наших экосистемах с открытым исходным кодом".
"Эти пакеты, названные обманчиво, чтобы казаться легитимными, содержали запутанный JavaScript, предназначенный для запуска обратной оболочки при установке пакета", - сказали в фирме Phylum, занимающейся безопасностью цепочки поставок программного обеспечения.
Все поддельные пакеты были опубликованы пользователю npm с именем valent (GitHub, ,X,,). На момент написания статьи 39 или другие пакеты, загруженные автором, все еще доступны для скачивания.
Цепочка атак запускается после установки пакета с помощью перехвата install в package.json, который вызывает код JavaScript для установки обратной оболочки для rsh.51pwn[.]com.
"В данном конкретном случае злоумышленник опубликовал десятки безобидно выглядящих пакетов с несколькими слоями или запутывающими и вводящими в заблуждение тактиками в попытке в конечном итоге развернуть обратную оболочку на любой машине, которая просто устанавливает один из этих пакетов", - сказал Филум.
Выводы следуют за разоблачениями о том, что два пакета, опубликованные в Python Package Index (PyPI) под прикрытием упрощения интернационализации, содержали вредоносный код, предназначенный для перекачки конфиденциальных данных настольного приложения Telegram и системной информации.
Было обнаружено, что пакеты с именами localization-utils и locute извлекают конечную полезную нагрузку из динамически сгенерированного URL-адреса Pastebin и передают информацию в Telegram-канал, управляемый исполнительным механизмом.
Разработка подчеркивает растущий интерес участников угроз к средам с открытым исходным кодом, которые позволяют им организовывать эффективные атаки по цепочке поставок, которые могут быть нацелены на нескольких нижестоящих клиентов одновременно.
"Эти пакеты демонстрируют целенаправленные и тщательно продуманные усилия по предотвращению обнаружения с помощью статического анализа и визуального контроля с использованием различных методов обфускации", - сказал Филум, добавив, что они "служат еще одним ярким напоминанием о критическом характере или зависимом доверии в наших экосистемах с открытым исходным кодом".
