Вредоносный плагин npm угрожает безопасности чат-ботов Koishi

Вредоносный плагин npm угрожает безопасности чат-ботов Koishi

Вредоносный пакет npm «koishipluginpinhaofa» угрожает безопасности чат-ботов Koishi

Недавнее исследование исследовательской группы Socket выявило опасный вредоносный пакет npm под названием koishipluginpinhaofa. Этот плагин нацелен на чат-боты платформы Koishi и предназначен для незаметной утечки конфиденциальной информации через встроенный бэкдор.

Особенности вредоносного плагина

Пакет koishipluginpinhaofa позиционируется как плагин, улучшающий функции орфографии и автозамены. Однако на практике он скрыто отслеживает все входящие сообщения и ищет в них восьмизначные шестнадцатеричные строки. При обнаружении такого шаблона плагин пересылает полный текст сообщения, включая потенциально важные данные — например, учетные данные для аутентификации или секретные ключи — на заранее определённый QQ-аккаунт.

Стоит отметить, что платформа Koishi, популярная среди разработчиков для создания чат-ботов в таких мессенджерах, как QQ, Telegram и Discord, имеет маркетплейс с более чем тысячей плагинов, которые работают внутри процесса бота. Плагины получают неограниченный доступ для чтения и изменения всех сообщений, что вызывает повышенный риск безопасности, особенно в таких секторах, как банковское дело и электронная коммерция, где чат-боты широко используются для взаимодействия с клиентами.

Способы реализации утечки данных

Анализ выявил несколько ключевых сценариев, в которых koishipluginpinhaofa может эффективного похищать конфиденциальную информацию:

  • Банковские чат-боты: утечка данных кредитных карт и идентификаторов транзакций;
  • Чат-боты электронной коммерции: пересылка ссылок на статус заказов, содержащих JWT-токены или хэши авторизации платежей;
  • Здравоохранение: передача личной медицинской информации, включая данные о приёмах и идентификаторы рецептов.

Особую тревогу вызывает то, что утечка происходит через те же коммуникационные каналы, что и стандартное общение, что значительно усложняет обнаружение мошеннической активности с помощью привычных веб-фильтров и систем защиты конечных точек.

Механизм работы и опасности внедрения

Хакер, создавший этот вредоносный пакет, тщательно использует следующие уязвимости:

  • Прямую интеграцию плагинов в процесс выполнения Koishi bot;
  • Простую и открытую модель распространения через npm;
  • Отсутствие строгих проверок кода со стороны администраторов ботов, которые часто внедряют плагины без детального аудита.

Код бэкдора написан лаконично — без сложных зависимостей и запутанных конструкций, что повышает его скрытность и усложняет обнаружение.

Рекомендации для пользователей Koishi

Учитывая серьезность угрозы, организациям, использующим чат-боты Koishi, настоятельно рекомендуется:

  • Тщательно проверять и аудировать все сторонние плагины перед установкой;
  • Ограничивать права доступа плагинов по возможности;
  • Мониторить сетевой трафик и внимательно анализировать подозрительные активности;
  • Регулярно обновлять платформу и следить за известными уязвимостями.

Этот инцидент служит наглядным примером широкой проблемы — уязвимостей цепочки поставок в программном обеспечении, возникающих в средах с высокой зависимостью от множества внешних библиотек и плагинов.

В условиях возрастающей интеграции чат-ботов в критически важные бизнес-процессы вопрос безопасности сторонних компонентов становится приоритетом номер один.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: