سوء استفاه از پکیج‌های npm برای پنهان کردن کد بکدور!

پکیج‌های npm

محققان امنیت سایبری دو پکیج مخرب را در رجیستری پکیج npm شناسایی کرده‌اند که کدهای بکدور را برای اجرای دستورات پنهان می‌کنند.  این دستورات مخرب از یک سرور راه دور ارسال می‌شوند.

پکیج‌های مورد بحث که img-aws-s3-object-multipart-copy و legacyaws-s3-object-multipart-copy نام دارند، هر کدام به ترتیب 190 و 48 بار دانلود شده‌اند و اخیرا نیز توسط تیم امنیتی npm حذف شده‌اند.

این پکیج‌ها دارای عملکرد پیچیده فرماندهی و کنترل پنهان در فایل‌های تصویری بوده که هنگام نصب پکیج، اجرا می‌شدند.

پکیج‌ها برای جعل هویت یک کتابخانه npm قانونی به نام aws-s3-object-multipart-copy طراحی شده‌ بودند، اما توسط نسخه تغییر یافته فایل “index.js” به منظور اجرای یک فایل جاوا اسکریپت (“loadformat.js”) ارائه شدند.

فایل جاوا اسکریپت به نوبه خود، به منظور پردازش سه تصویر طراحی شده است که لوگوهای شرکتی Intel، Microsoft و AMD می‌باشند. این تصاویر برای استخراج و اجرای محتوای مخرب استفاده می‌شوند.

این کد با ثبت کلاینت جدید همراه با ارسال نام میزبان و جزئیات سیستم عامل آن به یک سرور فرماندهی و کنترل (C2) کار می‌کند، سپس سعی خواهد کرد تا دستورات صادر شده توسط مهاجم را هر پنج ثانیه یکبار اجرا کند. در مرحله آخر، خروجی اجرای دستورات از طریق یک endpoint خاص به مهاجم ارائه می‌شود.

ما در چند سال گذشته، شاهد افزایش چشمگیر پیچیدگی و حجم پکیج‌های مخرب خصوصا پکیج‌های npm منتشر شده در اکوسیستم‌های منبع باز بوده‌ایم. این حملات غالبا موفقیت آمیز هستند.

از این رو، ضروری است که توسعه دهندگان و سازمان‌های امنیتی به طور کامل از این واقعیت آگاه گشته و در خصوص کتابخانه‌های منبع بازی که استفاده می‌کنند کاملا هوشیار باشند.

 

منابع