Эксперты обнаружили новую масштабную атаку на цепочку поставок, нацеленную на Azure-разработчиков. Вредоносная кампания включала в себя 218 вредоносных пакетов npm, которые были ориентированы на кражу личной информации.
Проблему обнаружили специалисты компании JFrog, которые пишут, что после ручной проверки некоторых пакетов стало очевидно, что это «целенаправленная атака на всю область @azure NPM». По их словам, злоумышленник использовал автоматический скрипт для создания учетных записей и загрузки вредоносных библиотек.
Атака относилась к типу typosquatting, то есть злоумышленник распространял в репозитории вредоносные пакеты под именами, имитирующими названия других популярных библиотек. В таких случаях хакеры надеются, что пользователи не заметят подвоха и установят малварь.
В данном конкретном случае, злоумышленник создал десятки вредоносных копий с тем же именем, что и у существующих пакетов @azure, например @azure/core-tracing против core-tracing.
«Он полагался на то, что некоторые разработчики могут ошибочно опустить префикс @azure при установке пакета, — рассказывают эксперты. — Например, запустить npm install core-tracing по ошибке вместо правильной команды — npm install @azure/core-tracing».
Более того, хакер использовал уникальные имена пользователей для загрузки каждого отдельного пакета, чтобы не вызывать подозрений, а библиотеки с вредоносным ПО имели высокие номера версий (например, 99.10.9), что указывает на попытку провести атаку типа dependency confusion.
После установки вредоносные пакеты принимались воровать данные жертвы, включая содержимое С:\, D:\, / и /home, а также:
- имя пользователя;
- домашний каталог пользователя;
- текущий рабочий каталог;
- IP-адреса всех сетевых интерфейсов;
- IP-адреса настроенных DNS-серверов;
- имя успешного установленного атакующего пакета.
Аналитики полагают, что малварь предназначалась либо для первоначальной разведки (перед отправкой более существенного пейлоада), либо странной попыткой поиска багов, направленной на пользователей Azure (и, возможно, разработчиков Microsoft).
В настоящее время все вредоносные пакеты уже удалены, но, к сожалению, каждый из них успели загрузить в среднем по 50 раз.
«Из-за стремительного роста атак на цепочку поставок, особенно через репозитории NPM и PyPI, кажется, им следует добавить больше мер контроля и средств для предотвращения негативных последствий, — резюмируют специалисты. — Например, добавление механизма CAPTCHA к процессу создания пользователей npm помешает злоумышленникам легко регистрировать большое количество учетных записей, от лица которых можно загружать вредоносные пакеты, а также упростит обнаружение атак».
