Ένα κακόβουλο πακέτο στον δείκτη διαχείρισης πακέτων κόμβων χρησιμοποιεί αόρατους χαρακτήρες Unicode για να αποκρύψει τον κακόβουλο κώδικα και τους συνδέσμους του ημερολογίου Google για να φιλοξενήσει τη διεύθυνση URL για την τοποθεσία εντολών και ελέγχου.
Το πακέτο, ονομάστηκε OS-info-checker-es6εμφανίζεται ως βοηθητικό πρόγραμμα πληροφοριών και έχει μεταφορτωθεί περισσότερο από 1.000 φορές από την αρχή του μήνα.
Ερευνητές στο Inacodeμια εταιρεία αξιολόγησης ασφαλείας κώδικα, διαπίστωσε ότι η πρώτη έκδοση του πακέτου προστέθηκε στον δείκτη του Manager Manager (NODE Manager (NPM) στις 19 Μαρτίου και ήταν καλοήθης, καθώς συγκέντρωσε μόνο πληροφορίες λειτουργικού συστήματος από τον κεντρικό υπολογιστή.
Ο συγγραφέας πρόσθεσε τροποποιήσεις λίγες μέρες αργότερα για να συμπεριλάβει τα δυαδικά αρχεία για την πλατφόρμα και τα σενάρια εγκατάστασης.
Στις 7 Μαΐου δημοσιεύθηκε μια νέα έκδοση του πακέτου, η οποία περιελάμβανε κώδικα για τον “εκλεπτυσμένο μηχανισμό C2 (Command-and-Control)” που παρέχει το τελικό ωφέλιμο φορτίο.
Η τελευταία έκδοση του ‘OS-info-checker-es6«Διατίθεται στο NPM κατά τη στιγμή της γραφής είναι v1.0.8 και είναι κακόβουλο, προειδοποιεί ο Veracode.
Επιπλέον, το πακέτο παρατίθεται ως εξάρτηση για τέσσερα άλλα πακέτα NPM: παραλείπω, vue-dev-serverr, εικονικότητακαι ‘φουσκωτό – Όλοι θέτουν ως εργαλεία μηχανικής πλατφόρμας προσβασιμότητας και προγραμματιστή.
Δεν είναι σαφές εάν ή πώς προωθούν αυτά τα πακέτα από τον ηθοποιό απειλής.
Steganography Unicode
Στην κακόβουλη έκδοση, ο επιτιθέμενος ενσωμάτωσε δεδομένα σε αυτό που φαίνεται να είναι «|» σειρά. Ωστόσο, η κατακόρυφη ράβδος ακολουθείται από μια μακρά ακολουθία αόρατων χαρακτήρων Unicode από το εύρος συμπληρώματος επιλογών παραλλαγών (U+E0100 έως U+E01EF).
Αυτοί οι χαρακτήρες Unicode είναι κανονικά τροποποιητές, συνήθως χρησιμοποιούνται “για την παροχή συγκεκριμένων παραλλαγών glyph σε σύνθετα σενάρια”. Σε αυτή την περίπτωση, ο ρόλος τους είναι να διευκολύνουν τη Steganography με βάση το κείμενο – την απόκρυψη πληροφοριών σε άλλα δεδομένα.
Το Veracode αποκωδικοποίησε και αποκάλυψε τη συμβολοσειρά για να βρει ένα ωφέλιμο φορτίο για έναν εξελιγμένο μηχανισμό C2 που βασίστηκε σε ένα σύντομο σύνδεσμο του ημερολογίου Google για να φτάσει στην τοποθεσία που φιλοξενεί το τελικό ωφέλιμο φορτίο.
Ο ερευνητής εξηγεί ότι μετά τη λήψη του συνδέσμου ημερολογίου Google, ένα σύνολο ανακατευθύνσεων ελέγχεται μέχρι να λάβει μια απάντηση HTTP 200 OK για το αίτημα.
Στη συνέχεια, σκουπίζει ένα δελτίο δεδομένων Χαρακτηριστικό από τη σελίδα HTML της εκδήλωσης, η οποία κατέχει μια διεύθυνση URL με κωδικοποιημένη με βάση το64 που δείχνει το τελικό ωφέλιμο φορτίο.
Χρησιμοποιώντας μια λειτουργία που ονομάζεται ymmogvj, Η διεύθυνση URL αποκωδικοποιείται για να πάρει ένα ωφέλιμο φορτίο κακόβουλου λογισμικού. Οι ερευνητές λένε ότι το αίτημα αναμένει ένα βασικό φορτίο κακόβουλου λογισμικού στο στάδιο-2 στο σώμα απόκρισης και πιθανώς ένα φορέα αρχικοποίησης και ένα μυστικό κλειδί στις κεφαλίδες HTTP- μια ένδειξη πιθανής κρυπτογράφησης του τελικού ωφέλιμου φορτίου.
Το Veracode διαπίστωσε επίσης ότι το ωφέλιμο φορτίο εκτελείται επίσης χρησιμοποιώντας eval (). Το σενάριο περιλαμβάνει έναν απλό μηχανισμό εμμονής στον προσωρινό κατάλογο του συστήματος, ο οποίος εμποδίζει ταυτόχρονα πολλαπλές περιπτώσεις.
Κατά τη στιγμή της ανάλυσης, οι ερευνητές δεν μπορούσαν να ανακτήσουν το τελικό ωφέλιμο φορτίο, υποδηλώνοντας ότι η εκστρατεία θα μπορούσε να είναι σε αναμονή ή ακόμα σε πρώιμο στάδιο.
Παρά το Veracode που αναφέρει τα ευρήματά του στο NPM, τα ύποπτα πακέτα εξακολουθούν να υπάρχουν στην πλατφόρμα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
