СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.03.2025
#Dev#ИБ

Мавен-угроза кибербезопасности для разработчиков Java

Мавен-угроза кибербезопасности для разработчиков Java

Недавно специалисты по кибербезопасности обнаружили вредоносный пакет Maven, который представляет серьезный риск для разработчиков, работающих с языком Java. Этот пакет содержит опечатки в популярной библиотеке scribejava-core, широко используемой для аутентификации OAuth. На данный момент библиотека имеет более 5,5 тыс. звезд на GitHub, что делает ее привлекательной мишенью для злоумышленников.

Как работает вредоносный пакет

Этот вредоносный пакет был представлен в январе 2024 года и может тайно перехватывать и удалять учетные данные OAuth, действуя лишь 15-го числа каждого месяца. Разработчики, случайно интегрировавшие этот артефакт в свои проекты, могут столкнуться с серьезными проблемами:

  • Несанкционированный доступ к конфиденциальным платежным API;
  • Потенциальные мошеннические транзакции, которые могут оставаться незамеченными длительное время.

Методы атаки

Атака включает в себя использование нескольких тактик, включая компрометацию цепочки поставок, что соответствует методам MITRE ATT&CK, таким как T1195.002. Вредоносное ПО применяет методы маскировки (T1036.005), чтобы выглядеть легитимным, используя имя, почти идентичное реальной библиотеке. Также используются шесть других зависимых пакетов, которые имитируют установленные аналоги.

Эти зависимые пакеты были опубликованы в тот же день, что и вредоносный артефакт, и используют тот же groupId (io.github.leetcrunch) вместо законного пространства имен (com.github.scribejava), что затрудняет их выявление.

Запутанный код и механизмы скрытия

Ключевым аспектом этой вредоносной полезной нагрузки является ее запутанный код, который активируется только в установленную дату. Этот подход позволяет избежать немедленного обнаружения, откладывая выполнение на несколько недель после установки. Такой механизм:

  • Усложняет установление авторства;
  • Делает трудным связывание установки вредоносного пакета с кражей учетных данных.

Злоумышленник также использует встроенные строки для создания динамических URL-адресов Pastebin, что способствует избеганию обнаружения и оставляет разработчиков с расплывчатыми, вводящими в заблуждение сообщениями об исключениях.

Потенциальные последствия

Если финтех-приложение неосознанно использует этот вредоносный пакет, последствия могут быть катастрофическими. Учетные данные удаляются ежемесячно, что позволяет злоумышленникам легко получать доступ к платежным сервисам, ведя к продолжающимся мошенническим транзакциям и значительным рискам для организации со стороны регулирующих органов.

Заключение

Данная ситуация наглядно демонстрирует, насколько важна бдительность и тщательное изучение сторонних библиотек при разработке программного обеспечения. Важно принимать все необходимые меры для защиты конфиденциальных данных от несанкционированного использования и мошеннических действий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: