Вредоносная логика в пакетах seatable: угроза цепочке поставок
Источник: socket.dev
Недавний отчет выявил серьезную угрозу кибербезопасности, связанную с вредоносной логикой, встроенной в пакет seatable и 59 аналогичных программных компонентов. Эта вредоносная нагрузка иллюстрирует растущую опасность атак на цепочки поставок — одной из самых изощрённых современных тактик взлома.
Суть угрозы: разведка во внутренней сети
Вредоносный код, который встроен во все 60 заражённых пакетов, выполняет функцию сбора информации о внутренней сети целевой организации. В частности, он извлекает:
- внутренние и внешние IP-адреса;
- DNS-серверы;
- имена пользователей;
- пути к проектам и ресурсам.
После сбора этих данных хакер получает детальную карту сетевой инфраструктуры, что даёт возможность определить ключевые цели для более серьёзных атак в будущем.
Особая опасность для серверов непрерывной интеграции
Отдельно стоит выделить риски для серверов непрерывной интеграции, где вредоносная нагрузка способна раскрывать конфиденциальные сведения, такие как URL внутреннего реестра пакетов и пути сборки. Эти данные критически важны, так как они ускоряют проведение последующих атак на цепочку поставок, используя уязвимости, выявленные на этапе разведки.
Важно отметить, что в текущий момент вредоносный код ограничивается исключительно сбором данных и не осуществляет прямых атак. Тем не менее, именно такой разведывательный этап создаёт стратегический риск, способствуя подготовке к более масштабным внедрениям.
Характеристика кампании злоумышленника
Исследователи зафиксировали, что за этой кампанией стоит один злоумышленник, который зарегистрировал три учётные записи, каждая из которых связана с отдельным адресом электронной почты. В течение всего одиннадцати дней была опубликована 60 пакетов, каждый из которых содержал идентичный вредоносный код.
Все собранные данные отправлялись на общий веб-сайт Discord, что указывает на скоординированный характер операции.
Технические детали и классификация по MITRE ATT&CK
Методы, применённые в этих атаках, можно сопоставить с несколькими тактиками из системы MITRE ATT&CK:
- Компрометация цепочки поставок (T1195.002)
- Использование JavaScript для интерпретации команд и сценариев (T1059.007)
- Интеграция webhook для фильтрации и передачи данных (T1567.004)
- Сбор сетевой информации через DNS-запросы (T1590.002)
- Сбор IP-адресов (T1590.005)
- Уклонение от обнаружения путем выявления виртуализации и изолированных сред (T1497)
Последняя тактика, связанная с обнаружением виртуальных и изолированных сред, свидетельствует об использовании злоумышленником сложных методов ухода от обнаружения и анализа своих действий.
Выводы: растущая сложность угроз в цепочках поставок
Этот инцидент подчёркивает высокую степень изощрённости и многоплановости современных киберугроз. Даже простая на первый взгляд разведка, проводимая на ранних этапах атаки, может стать основой для масштабных взломов и серьёзных утечек данных.
Эксперты по безопасности рекомендуют организациям ужесточить мониторинг используемых пакетов и уделять особое внимание анализу поведения компонентов, связанных с цепочками поставок, чтобы своевременно выявлять и нейтрализовать подобные вредоносные кампании.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
