מתקפה חדשה הסתתרה במאגר קוד פתוח וסימנה את שרשרת האספקה שלכם
יותר מ־70 חבילות ותוספים זדוניים התגלו ב־npm וב־VS Code. החבילות אוספות מידע רגיש, מוחקות קבצים וגונבות ארנקים קריפטוגרפים. חלקן עדיין פעילות
תמונה: dreamstime
מתקפת שרשרת אספקה חדשה נחשפה השבוע, והיא עשתה בדיוק את מה שכולנו חוששים ממנו: התחזות לכלי לגיטימי, איסוף מידע רגיש, מחיקת קבצים, גניבת ארנקים דיגיטליים והכול תוך התחמקות מזיהוי במשך חודשים.
על פי דיווחים שונים, למעלה מ־70 חבילות ותוספים זדוניים פורסמו בשקט בשוק התוספים של VS Code ובמאגר npm. חלקם הוסוו כספריות עזר ל־React, Vue או Node.js; אחרים התחזו לכלים לסריקת חולשות בקוד Solidity. בפועל, הקוד שבהם שלח שמות מחשבים, כתובות IP, שמות משתמשים ונתיבי פרויקטים לנקודת קצה ב־Discord, בשליטת התוקפים.
npm, מאגר החבילות הפתוח הגדול בעולם לפיתוח ב־JavaScript וב־Node.js, מאפשר לכל אחד להעלות חבילה ולכל אחד אחר להתקין אותה בלחיצת כפתור. הקלות הזו היא גם נקודת תורפה: מספיק שתוקף ישלב קוד זדוני בתוך חבילה שנראית תמימה, וברגע שמישהו מתקין אותה, אפילו בלי להריץ אותה, הסקריפט כבר נכנס לפעולה.
וזה בדיוק מה שקרה כאן: שלושה חשבונות שונים פרסמו חבילות שכללו סקריפט שמופעל בזמן ההתקנה, עם יכולת תקיפה למערכות Windows, macOS ולינוקס. הקוד כלל גם מנגנוני התחמקות, למשל אם הוא מזהה שהוא רץ בענן של AWS או GCP, הוא מפסיק את פעולתו.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
Socket, חברת הסייבר שזיהתה את המתקפה, דיווחה כי החבילות האלה הורדו מעל 3,000 פעמים. חבילות אחרות, שהתחזו לכלים מוכרים ל־Vue, React ו־Vite, הורדו יותר מ־6,200 פעמים – ועדיין זמינות להורדה. חלקן מוחקות קבצים, אחרות משחיתות פונקציות בסיסיות ב-JavaScript, ויש גם חבילה שמכבה את המחשב לחלוטין לפי שעה מוגדרת.
במקביל, חוקרי Datadog, שמחזיקים פלטפורמה לניטור מערכות, זיהו שלושה תוספים ל־Visual Studio Code שמכוונים ישירות למפתחי Solidity ומכילים קוד לגניבת ארנקי קריפטו. התוספים התחזו לכלים לגיטימיים לסריקת קוד, ואכן הציעו פונקציונליות אמיתית אבל ניצלו את ההפעלה כדי לשתול תוספי דפדפן מבוססי Chromium, השביתו את Windows Defender, וסרקו תיקיות מערכת במטרה לאסוף מידע על דפדפנים, אפליקציות Electron וארנקים דיגיטליים.
שלושת התוספים האלה הוסרו מהחנות, אך לפי Datadog, קבוצת התקיפה MUT-9332 שעומדת מאחוריהם כבר השתמשה בעבר בתוספים דומים במסווה של כלים לקוד או בינה מלאכותית – והיא צפויה להמשיך לנסות בטקטיקות חדשות.
גם פישינג כמובן בתמונה
קמפיין נוסף שנחשף כלל שליחת קובץ HTM במייל, עם JavaScript מוצפן שנטען מ־jsDelivr. ברגע שהקורבן פתח את הקובץ, הופעל תהליך הפניות שהוביל לדף התחברות מזויף של Office 365, עם התאמה אישית לפי כתובת המייל של הקורבן – כדי להגביר את תחושת האמינות.
הקוד כולו הגיע כחלק מחבילת npm בשם citiycar8, שכבר הוסרה, אך הצליחה להדביק משתמשים עוד לפני כן. לפי החוקרים, מדובר באחת ממתקפות הפישינג המתוחכמות ביותר שנראו לאחרונה, עם שילוב בין הצפנת AES, שימוש ברשתות CDN ושרשרת הפניות שנועדה להסתיר את הכוונה האמיתית.
אם אתם עובדים עם חבילות קוד פתוח, מתקינים תוספים או מנהלים סביבת פיתוח – שימו לב היטב למה שאתם מכניסים פנימה. לא כל ספרייה שמתחזה לפלאגין לגיטימי באמת שם כדי לעזור לכם.
