CarderPlanet
Professional
Согласно выводам Fortinet FortiGuard Labs, в репозитории пакетов npm было обнаружено около трех десятков поддельных пакетов, предназначенных для удаления конфиденциальных данных из систем разработчиков.
Один набор пакетов с именами @expue / webpack, @expue /core, @expue /vue3-renderer, @fixedwidthtable / фиксированная ширина таблицы и @virtualsearchtable / виртуальная поисковая таблица – содержал запутанный файл JavaScript, который способен собирать ценные секреты.
Сюда входят конфигурации Kubernetes, ключи SSH и системные метаданные, такие как имя пользователя, IP-адрес и имя хоста.
Компания по кибербезопасности заявила, что также обнаружила еще один набор из четырех модулей, то есть binarium-crm, career-service-client-0.1.6, hh-dep-monitoring и orbitplate, что приводит к несанкционированному извлечению исходного кода и файлов конфигурации.
"Целевые файлы и каталоги могут содержать очень ценную интеллектуальную собственность и конфиденциальную информацию, такую как учетные данные различных приложений и служб", - сказали исследователи безопасности Джин Ли и Дженна Ван. "Затем они архивируют эти файлы и каталоги и загружают полученные архивы на FTP-сервер".
Было обнаружено, что некоторые из обнаруженных пакетов также используют Discord webhook для удаления конфиденциальных данных, в то время как несколько других предназначены для автоматической загрузки и выполнения потенциально вредоносного исполняемого файла с URL.
Что является новым поворотом, мошеннический пакет с именем @cima / prism-utils полагался на установочный скрипт для отключения проверки сертификата TLS (NODE_TLS_REJECT_UNAUTHORIZED= 0), потенциально делая соединения уязвимыми для атак типа "злоумышленник посередине" (AitM).
Компания по кибербезопасности заявила, что классифицировала идентифицированные модули на девять различных групп на основе сходства кода и функций, причем в большинстве из них используются сценарии установки, которые запускаются до или после установки для сбора данных.
"Конечным пользователям следует следить за пакетами, использующими подозрительные сценарии установки, и проявлять осторожность", - заявили исследователи.
Один набор пакетов с именами @expue / webpack, @expue /core, @expue /vue3-renderer, @fixedwidthtable / фиксированная ширина таблицы и @virtualsearchtable / виртуальная поисковая таблица – содержал запутанный файл JavaScript, который способен собирать ценные секреты.
Сюда входят конфигурации Kubernetes, ключи SSH и системные метаданные, такие как имя пользователя, IP-адрес и имя хоста.
Компания по кибербезопасности заявила, что также обнаружила еще один набор из четырех модулей, то есть binarium-crm, career-service-client-0.1.6, hh-dep-monitoring и orbitplate, что приводит к несанкционированному извлечению исходного кода и файлов конфигурации.
"Целевые файлы и каталоги могут содержать очень ценную интеллектуальную собственность и конфиденциальную информацию, такую как учетные данные различных приложений и служб", - сказали исследователи безопасности Джин Ли и Дженна Ван. "Затем они архивируют эти файлы и каталоги и загружают полученные архивы на FTP-сервер".
Было обнаружено, что некоторые из обнаруженных пакетов также используют Discord webhook для удаления конфиденциальных данных, в то время как несколько других предназначены для автоматической загрузки и выполнения потенциально вредоносного исполняемого файла с URL.
Что является новым поворотом, мошеннический пакет с именем @cima / prism-utils полагался на установочный скрипт для отключения проверки сертификата TLS (NODE_TLS_REJECT_UNAUTHORIZED= 0), потенциально делая соединения уязвимыми для атак типа "злоумышленник посередине" (AitM).
Компания по кибербезопасности заявила, что классифицировала идентифицированные модули на девять различных групп на основе сходства кода и функций, причем в большинстве из них используются сценарии установки, которые запускаются до или после установки для сбора данных.
"Конечным пользователям следует следить за пакетами, использующими подозрительные сценарии установки, и проявлять осторожность", - заявили исследователи.
