بسته‌های جعلی npm برای فریب توسعه‌د‌هندگان نرم‌افزار به نصب بدافزار

0
303
بسته‌های جعلی npm برای فریب توسعه‌د‌هندگان نرم‌افزار به نصب بدافزار

یک کمپین مهندسی اجتماعی با هدف قرار دادن توسعه دهندگان نرم‌افزار راه‌اندازی شده است. در این کمپین تحت عنوان مصاحبه شغلی از توسعه‌دهندگان نرم‌افزار خواسته می‌شود که برای انجام تسک بسته‌های جعلی npm که در واقع یک در پشتی است را دانلود کنند.

شرکت امنیت سایبری Securonix این فعالیت را تحت نام DEV#POPPER دنبال و آن را به عوامل کره شمالی مرتبط می‌کند.

محققین امنیتی Den Iuzvyk, Tim Peck, و Oleg Kolesnikov می‌گویند: «در طول این مصاحبه‌های تقلبی، اغلب از توسعه‌دهندگان خواسته می‌شود تسک‌هایی را انجام دهند که شامل دانلود و اجرای نرم‌افزار از منابعی مانند GitHub است که قانونی و درست بنظر می‌آیند. “این نرم افزار حاوی یک payload مخرب Node JS است که پس از اجرا، سیستم توسعه دهنده را به خطر می‌اندازد.”

جزئیات این کمپین برای اولین بار در اواخر نوامبر ۲۰۲۳ ظاهر شد، زمانی که Unit 42 Palo Alto network از یک فعالیت مخرب به نام مصاحبه مسری را صحبت کرد که در آن عوامل تهدید به عنوان کارفرمایان ظاهر می‌شوند تا توسعه دهندگان نرم افزار را برای نصب بدافزارهایی مانند BeaverTail و InvisibleFerret از طریق فرآیند مصاحبه جذب کنند.

سپس در اوایل ماه فوریه، شرکت امنیتی زنجیره تامین نرم‌افزار Phylum مجموعه‌ای از بسته‌های مخرب را در رجیستری npm کشف کرد که شامل همان بدافزار‌هایی بودند که برای سرقت اطلاعات حساس از روی سیستم‌‌های توسعه دهندگان طراحی شده بودند.

زنجیره حمله که توسط Securonix شرح داده شده است با یک آرشیو ZIP در GitHub شروع می‌شود که احتمالاً به عنوان بخشی از مصاحبه به هدف ارسال می‌شود. در داخل فایل یک ماژول npm به ظاهر بی‌خطر وجود دارد که فایل جاوا اسکریپت مخرب با کد BeaverTail را در خود جای داده است. این فایل به عنوان یک سارق اطلاعات و یک لودر برای درب پشتی پایتون به نام InvisibleFerret که از یک سرور راه دور بازیابی می‌شود، عمل می‌کند.

این کدهای مخرب علاوه بر جمع‌آوری اطلاعات سیستم، قادر به اجرای دستور، جستجو و سرقت فایل‌ها و کی‌لاگر است.

محققان Securonix می‌گویند: «وقتی صحبت از حملاتی می‌شود که از مهندسی اجتماعی سرچشمه می‌گیرند، حفظ یک ذهنیت متمرکز بر امنیت، به ویژه در موقعیت‌های شدید و استرس‌زا مانند مصاحبه‌های شغلی بسیار مهم است. مهاجمان پشت کمپین‌های DEV#POPPER از این سوء استفاده می‌کنند، زیرا می‌دانند که طرف مقابل در وضعیتی بسیار پریشان و آسیب‌پذیر است.»

منبع: https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html

مقاله قبلیامنیت فایل‌های بک‌‌آپ را جدی بگیرید
مقاله بعدیمیلیون‌ها مخزن بدون image در داکر هاب – عوامل تهدید پشت اعتبار داکر هاب مخفی شده‌اند

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.