Πολλά επίσημα πακέτα SAP npm παραβιάστηκαν σε κάτι που πιστεύεται ότι είναι μια επίθεση αλυσίδας εφοδιασμού TeamPCP για την κλοπή διαπιστευτηρίων και διακριτικών ελέγχου ταυτότητας από συστήματα προγραμματιστών.
Οι ερευνητές ασφαλείας αναφέρουν ότι ο συμβιβασμός επηρέασε τέσσερα πακέτα, με τις εκδόσεις να έχουν πλέον καταργηθεί στο NPM:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – έκδοση 2.10.1
- mbt – v1.2.48
Αυτά τα πακέτα υποστηρίζουν το Cloud Application Programming Model (CAP) και το Cloud MTA της SAP, τα οποία χρησιμοποιούνται συνήθως στην ανάπτυξη επιχειρήσεων.
Σύμφωνα με νέες αναφορές του Αϊκίντο και Υποδοχήτα παραβιασμένα πακέτα τροποποιήθηκαν για να περιλαμβάνουν ένα κακόβουλο σενάριο «προεγκατάστασης» που εκτελείται αυτόματα όταν εγκατασταθεί το πακέτο npm.
Αυτό το σενάριο εκκινεί ένα πρόγραμμα φόρτωσης με το όνομα setup.mjs που πραγματοποιεί λήψη του χρόνου εκτέλεσης JavaScript Bun από το GitHub και το χρησιμοποιεί για να εκτελέσει ένα ωφέλιμο φορτίο execution.js με πολύ ασαφές περιεχόμενο.
Το ωφέλιμο φορτίο είναι ένα πρόγραμμα κλοπής πληροφοριών που χρησιμοποιείται για την κλοπή μιας μεγάλης ποικιλίας διαπιστευτηρίων τόσο από μηχανήματα προγραμματιστών όσο και από περιβάλλοντα CI/CD, όπως:
- npm και διακριτικά ελέγχου ταυτότητας GitHub
- Κλειδιά SSH και διαπιστευτήρια προγραμματιστή
- Διαπιστευτήρια Cloud για AWS, Azure και Google Cloud
- Διαμόρφωση και μυστικά Kubernetes
- Μυστικά αγωγών CI/CD και μεταβλητές περιβάλλοντος
Το κακόβουλο λογισμικό επιχειρεί επίσης να εξάγει μυστικά απευθείας από τη μνήμη του δρομέα CI, παρόμοια με τον τρόπο με τον οποίο το TeamPCP εξήγαγε διαπιστευτήρια σε προηγούμενες επιθέσεις εφοδιαστικής αλυσίδας.
“Στους δρομείς CI, το ωφέλιμο φορτίο εκτελεί ένα ενσωματωμένο σενάριο Python που διαβάζει /proc/
“Αυτός ο σαρωτής μνήμης για μυστικά είναι δομικά πανομοιότυπος με αυτόν που τεκμηριώθηκε στα περιστατικά Bitwarden και Checkmarx.”
Μόλις συλλεχθούν τα δεδομένα, κρυπτογραφούνται και ανεβαίνουν σε δημόσια αποθετήρια GitHub στον λογαριασμό του θύματος. Αυτά τα αποθετήρια περιλαμβάνουν την περιγραφή “Ένα Mini Shai-Hulud έχει εμφανιστεί”, η οποία είναι επίσης παρόμοια με τη συμβολοσειρά “Shai-Hulud: The Third Coming” που εμφανίζεται στην επίθεση της αλυσίδας εφοδιασμού Bitwarden.
Πηγή: Aikido
Το κακόβουλο λογισμικό βασίζεται επίσης στις αναζητήσεις δέσμευσης του GitHub ως μηχανισμό νεκρής πτώσης για την ανάκτηση κουπονιών και την απόκτηση περαιτέρω πρόσβασης.
«Το κακόβουλο λογισμικό αναζητά τις δεσμεύσεις του GitHub για αυτήν τη συμβολοσειρά και χρησιμοποιεί αντίστοιχα μηνύματα δέσμευσης ως διακριτικό νεκρό σημείο», εξηγεί το Aikido.
“Δέσμευση μηνυμάτων που ταιριάζουν με το OhNoWhatsGoingOnWithGitHub:
Παρόμοια με προηγούμενες επιθέσεις, το αναπτυσσόμενο ωφέλιμο φορτίο περιλαμβάνει επίσης κώδικα για αυτοδιάδοση σε άλλα πακέτα.
Χρησιμοποιώντας κλεμμένα διαπιστευτήρια npm ή GitHub, προσπαθεί να τροποποιήσει άλλα πακέτα και αποθετήρια στα οποία έχει πρόσβαση και εισάγει τον ίδιο κακόβουλο κώδικα για να εξαπλωθεί περαιτέρω.
Οι ερευνητές έχουν συνδέσει αυτήν την επίθεση με μέτρια εμπιστοσύνη με τους παράγοντες απειλής TeamPCP, οι οποίοι χρησιμοποίησαν παρόμοιο κώδικα και τακτικές σε προηγούμενες επιθέσεις εφοδιαστικής αλυσίδας εναντίον των Trivy, Checkmarx και Bitwarden.
Ενώ δεν είναι σαφές πώς οι παράγοντες της απειλής παραβίασαν τη διαδικασία δημοσίευσης npm της SAP, Μηχανικός Ασφαλείας αναφέρει ο Adnan Khan ότι ένα διακριτικό NPM μπορεί να έχει εκτεθεί μέσω μιας εσφαλμένης διαμόρφωσης εργασίας CircleCI.
Η BleepingComputer επικοινώνησε με τη SAP για να μάθει πώς παραβιάστηκαν τα πακέτα npm, αλλά δεν έλαβε απάντηση τη στιγμή της δημοσίευσης.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
