Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 23. februar 2022 | Emne: Sikkerhed
DevOps-sikkerhedsfirmaet JFrog har opdaget ondsindede npm-pakker, der ser ud til at være udviklet af malware-forfattere til at målrette mod rivaler.
Den 22. februar sagde JFrogs cybersikkerhedsforskere Andrey Polkovnychenko og Shachar Menashe, at 25 ondsindede Node Package Manager (npm) pakker for nylig var blevet opdaget af firmaets scannere, hvoraf mange er Discord-token-tyvere.
Hvis en angriber er i stand til at stjæle tokens, kan de bruges til at infiltrere et offers konto og kapre Discord-servere. De kan også være værdifulde aktiver, der er egnede til salg på underjordiske, kriminelle markeder.
Teamet bemærkede, at mange af pakkerne er maskeret som colors.js npm-pakken, open source-software udviklet af Marak Squires. Colors.js, en pakke til implementering af farvet tekst på node.js, blev saboteret af sin skaber i januar, hvorved titusindvis af JavaScript-programmer gik ned i ét strejke.
“Denne maskering skyldes sandsynligvis, at colors.js stadig er en af de mest installerede pakker i npm,” siger JFrog.
Derudover blev andre pakker fundet, inklusive Python-fjernkodeinjektorer og miljøvariable-tyvere.
Mens de rapporterede pakker “hurtigt” blev fjernet af npm-vedligeholdere, fangede især én pakke JFrogs øje. Kaldet “Lemaaa” er npm-pakken et bibliotek “ment til at blive brugt af ondsindede trusselsaktører til at manipulere Discord-konti,” ifølge forskerne.
Lemaaa inkluderede værktøjer såsom botlistefunktioner, fjernelse af venner, adgangskodekontrol, fangst af backupkoder og også at stjæle faktureringsoplysninger, når der leveres et Discord-token.
JFrog
Selve modulet er sløret, hvilket ikke burde være en overraskelse i betragtning af dets ondsindede formål. Efter at have pillet Lemaaas kode fra hinanden fandt forskerne dog ud af, at pakken var blevet trojaniseret for at kapre de hemmelige Discord-tokens, der blev leveret til biblioteket, og overføre dem til Lemaaas udvikler.
Da npm bruges af millioner af udviklere verden over. , ondsindet npm-pakkedetektering er indstillet til at fortsætte – og potentielt stige over tid.
“Vi vurderer, at denne tendens kun vil fortsætte med at stige, på grund af det faktum, at vi stadig ser snesevis af nye ondsindede pakker, der markeres hver dag af vores npm-scannere,” siger forskerne.
I december afslørede JFrog 17 ondsindede npm-pakker, der også er designet til at stjæle Discord-tokens. Disse pakker var i stand til at kapre kontooplysninger, hvilket gjorde det muligt for angribere at overtage en Discord-server.
Tidligere og relateret dækning
Ondsindede npm-pakker fanget ved at installere fjernadgangstrojanske heste
Ondsindede npm-pakker stjæler Discord-tokens
Denne NPM-pakke med millioner af ugentlige downloads har rettet en fjernudførelse af kode fejl
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre