Xakep #305. Многошаговые SQL-инъекции
Специалисты Checkmarx предупреждают, что хакеры полностью автоматизировали создание и доставку в экосистему npm сотен вредоносных пакетов. Исследователи считают, что количество вредоносных библиотек, связанных с этой кампанией, уже превышает 800.
Напомню, что на прошлой неделе аналитики компании JFrog обнаружили масштабную атаку на цепочку поставок, нацеленную на Azure-разработчиков. Вредоносная кампания включала в себя 218 вредоносных пакетов npm, которые были ориентированы на кражу личной информации.
Как теперь сообщает Checkmarx, этот инцидент, а также еще 400 вредоносных пакетов npm, нацеленные на разработчиков Azure, Uber и Airbnb, замеченные недавно специалистами Sonatype, являются частью единой масштабной кампании, за которой стоит человек или группа, которую эксперты отслеживают под названием RED-LILI.
Подчеркивается, что, судя по размаху кампании, RED-LILI полностью автоматизировал процесс создания учетных записей npm и явно делает ставку на атаки типа dependency confusion. Злоумышленник по-прежнему активен и продолжает распространять малварь.
«Обычно злоумышленники используют одноразовые анонимные учетные записи npm, с которых и запускают свои атаки. Судя по всему, на этот раз злоумышленник полностью автоматизировал процесс создания новых учетных записей и открывал новые учетные записи для каждого отдельного пакета, и обнаруживать новые партии стало намного сложнее», — пишут в Checkmarx.
По данным исследователей, всего за неделю неизвестный опубликовал около 800 опасных пакетов (в основном от лица уникальный учетных записей).
«Хотя имена пакетов выбирались тщательно, имена публикующих их пользователей представляют собой случайно сгенерированные строки, такие как 5t7crz72 или d4ugwerp. Это необычно для автоматизированных атак, которые нам доводилось видеть. Обычно злоумышленники создают одного пользователя и осуществляют все атаки от лица этой учетной записи. По этому поведению мы можем сделать вывод, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию новых пользователей и прохождение проверок OTP (One Time Password)».
Управляющий сервер, используемый неизвестным для управления атакой, rt11[.]ml, также является адресом, на который передается украденная информация. При этом исследователи пришли к выводу, все это работает под управлением опенсорсного инструмента Interactsh, написанного на языке Go.
Checkmarx создала собственный сервер с клиентом Interactsh, чтобы лучше понять методы работы злоумышленника. Затем был написан скрипт, который автоматически создает учетные записи npm с использованием SeleniumLibrary. Скрипт может случайным образом генерировать имена пользователей и адреса электронной почты, автоматически инициируя процесс регистрации. Чтобы обойти проверку OTP-проверку, используемую npm, Interactsh автоматически извлекает одноразовый пароль и отправляет его обратно в форму регистрации, что позволяет успешно завершить создание учетной записи.
«Стоит отметить, что после того, как учетная запись пользователя создана, ее можно настроить таким образом, чтобы для публикации пакета не требовался одноразовый пароль, — объясняют эксперты. — Для этого можно использовать токен аутентификации и настройки для работы без 2ФА».