СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
8 мая
#Dev#ИБ#Инфра

Сложная атака на цепочку поставок через npm-пакет

Сложная атака на цепочку поставок через npm-пакет

Источник: www.aikido.dev

Недавний анализ безопасности выявил сложную атаку на цепочку поставок, в которой использовался пакет npm «rand-user-agent@1.0.110«. Данный пакет еженедельно загружался примерно 45 000 раз, что подчеркивает его широкое распространение. Расследования показали, что эта версия, наряду с последующими выпусками, содержала вредоносный код, предназначенный для обеспечения несанкционированного доступа к системам.

Работа вредоносной программы

Вредоносная программа, идентифицированная как Trojan Remote Access (RAT), использует несколько известных методов для установления контроля над зараженными машинами. Основные механизмы работы RAT включают:

  • Установка скрытого канала связи со своим сервером управления (Command and Control, C2) с использованием клиентской библиотеки socket.io.
  • Передача файлов через axios, направляя украденные данные на вторичную конечную точку HTTP.
  • Динамическая установка необходимых модулей, если они еще не установлены в системе жертвы.

Скрытные методы атаки

Одной из наиболее коварных особенностей RAT является реализация перехвата PATH, специфичного для Windows. Этот метод манипулирует системной переменной окружения PATH, чтобы определить приоритетность каталога злоумышленника для выполнения двоичных файлов, эффективно маскируя свои действия под видом законных инструментов Python.

Таким образом, RAT может незаметно перехватывать и выполнять команды, связанные с распространенными утилитами Python, такими как python и pip. Такая скрытная тактика позволяет RAT работать незамеченным в системах, где Python уже широко распространен, что значительно повышает его потенциал для долгосрочной эксплуатации.

Риски цепочки поставок

Обнаружение этого вредоносного пакета подчеркивает значительные риски, связанные с уязвимостями цепочки поставок в зависимостях программного обеспечения. Вполне возможно, что этот RAT скомпрометировал множество систем, использующих уязвимый пакет для законных целей разработки. Следует обратить особое внимание на безопасность используемых зависимостей, чтобы предотвратить дальнейшие инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: