دو بسته مخرب کشف شده در مخزن بسته npm یک بدافزار دزد اطلاعات منبع باز به نام TurkoRat را پنهان می کنند.
بستهها - با نامهای nodejs-encrypt-agent و nodejs-cookie-proxy-agent - تقریباً 1200 بار دانلود شدند و بیش از دو ماه قبل از شناسایی و حذف در دسترس بودند.
ReversingLabs که جزئیات این کمپین را تجزیه و تحلیل کرد، Turkorat را به عنوان یک دزد اطلاعات توصیف کرد که قادر به جمع آوری اطلاعات حساس مانند اعتبار ورود، کوکی های وب سایت و داده ها از کیف پول های ارزهای دیجیتال است.
در حالی که nodejs-encrypt-agent به بدافزار داخل مجهز شد، nodejs-cookie-proxy-agent پیدا شد که تروجان را به عنوان یک وابستگی تحت نام axios-proxy پنهان میکند.
nodejs-encrypt-agent همچنین طوری طراحی شده است که به عنوان یک ماژول قانونی دیگر npm شناخته شده به عنوان agent-base که تا به امروز بیش از 25 میلیون بار دانلود شده است، طراحی شده است.
لیست بسته ها و نسخه های مرتبط با آنها در زیر فهرست شده است :
nodejs-encrypt-agent (نسخه های 6.0.2، 6.0.3، 6.0.4 و 6.0.5)
nodejs-cookie-proxy-agent (نسخه های 1.1.0، 1.2.0، 1.2.1، 1.2.2، 1.2.3 و 1.2.4)، و
axios-proxy (نسخههای 1.7.3، 1.7.4، 1.7.7، 1.7.9، 1.8.9 و 1.9.9)
Lucija Valentić، محقق تهدید در ReversingLabs، گفت: "TurkoRat تنها یکی از خانوادههای بدافزار منبع باز است که برای اهداف "آزمایش" ارائه میشود، اما میتوان آن را به راحتی دانلود و برای استفاده مخرب نیز تغییر داد.
والنتیچ گفت: «سازمانهای توسعهدهنده باید ویژگیها و رفتارهای کد منبع باز، شخص ثالث و کد تجاری که بر آن تکیه میکنند را مورد بررسی قرار دهند تا وابستگیها را ردیابی کنند و بارهای مخرب احتمالی را در آنها شناسایی کنند.»
استفاده روزافزون از بستههای مخرب npm با الگوی گستردهتری از علاقه فزاینده مهاجم به زنجیرههای تامین نرمافزار متنباز همخوانی دارد، بدون اینکه اشاره کنیم که پیچیدگی روزافزون بازیگران تهدید را برجسته میکند.
حتی نگرانکنندهتر، محققان Checkmarx تحقیق جدیدی را در این ماه منتشر کردند که نشان میدهد چگونه عوامل تهدید میتوانند با استفاده از حروف کوچک برای تقلید از حروف بزرگ در نام بستههای اصلی (مانند memoryStorageDriver در مقابل memorystoragedriver) بستههای npm معتبر را جعل کنند.
بستهها - با نامهای nodejs-encrypt-agent و nodejs-cookie-proxy-agent - تقریباً 1200 بار دانلود شدند و بیش از دو ماه قبل از شناسایی و حذف در دسترس بودند.
ReversingLabs که جزئیات این کمپین را تجزیه و تحلیل کرد، Turkorat را به عنوان یک دزد اطلاعات توصیف کرد که قادر به جمع آوری اطلاعات حساس مانند اعتبار ورود، کوکی های وب سایت و داده ها از کیف پول های ارزهای دیجیتال است.
در حالی که nodejs-encrypt-agent به بدافزار داخل مجهز شد، nodejs-cookie-proxy-agent پیدا شد که تروجان را به عنوان یک وابستگی تحت نام axios-proxy پنهان میکند.
nodejs-encrypt-agent همچنین طوری طراحی شده است که به عنوان یک ماژول قانونی دیگر npm شناخته شده به عنوان agent-base که تا به امروز بیش از 25 میلیون بار دانلود شده است، طراحی شده است.
لیست بسته ها و نسخه های مرتبط با آنها در زیر فهرست شده است :
nodejs-encrypt-agent (نسخه های 6.0.2، 6.0.3، 6.0.4 و 6.0.5)
nodejs-cookie-proxy-agent (نسخه های 1.1.0، 1.2.0، 1.2.1، 1.2.2، 1.2.3 و 1.2.4)، و
axios-proxy (نسخههای 1.7.3، 1.7.4، 1.7.7، 1.7.9، 1.8.9 و 1.9.9)
Lucija Valentić، محقق تهدید در ReversingLabs، گفت: "TurkoRat تنها یکی از خانوادههای بدافزار منبع باز است که برای اهداف "آزمایش" ارائه میشود، اما میتوان آن را به راحتی دانلود و برای استفاده مخرب نیز تغییر داد.
والنتیچ گفت: «سازمانهای توسعهدهنده باید ویژگیها و رفتارهای کد منبع باز، شخص ثالث و کد تجاری که بر آن تکیه میکنند را مورد بررسی قرار دهند تا وابستگیها را ردیابی کنند و بارهای مخرب احتمالی را در آنها شناسایی کنند.»
استفاده روزافزون از بستههای مخرب npm با الگوی گستردهتری از علاقه فزاینده مهاجم به زنجیرههای تامین نرمافزار متنباز همخوانی دارد، بدون اینکه اشاره کنیم که پیچیدگی روزافزون بازیگران تهدید را برجسته میکند.
حتی نگرانکنندهتر، محققان Checkmarx تحقیق جدیدی را در این ماه منتشر کردند که نشان میدهد چگونه عوامل تهدید میتوانند با استفاده از حروف کوچک برای تقلید از حروف بزرگ در نام بستههای اصلی (مانند memoryStorageDriver در مقابل memorystoragedriver) بستههای npm معتبر را جعل کنند.