WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Phát hiện 17 gói mã độc trên kho lưu trữ gói NPM, chiếm quyền điều khiển máy chủ Discord
Các nhà nghiên cứu của JFrog vừa phát hiện 17 gói độc hại trong kho lưu trữ NPM (trình quản lý gói Node.js) được phát triển để chiếm quyền điều khiển máy chủ Discord.
Các thư viện cho phép đánh cắp mã thông báo truy cập Discord và các biến môi trường từ các hệ thống đang chạy, cấp cho những kẻ tấn công toàn quyền truy cập vào tài khoản Discord của nạn nhân.
Các chuyên gia chỉ ra rằng các gói độc hại sử dụng các chiến thuật lây nhiễm khác nhau.
“Chúng tôi đã tiết lộ 17 gói độc hại này cho những người duy trì mã npm và các gói này đã nhanh chóng bị xóa khỏi kho lưu trữ npm - một dấu hiệu tốt cho thấy những gói này thực sự đang gây ra sự cố”. “May mắn thay, các gói này đã bị xóa trước khi chúng có thể tăng số lượng lớn tải xuống (dựa trên bản ghi npm), vì vậy chúng tôi đã tránh được một tình huống tương tự như lần tiết lộ PyPI gần đây nhất của chúng tôi, nơi các gói độc hại đã được tải xuống hàng chục nghìn lần trước khi chúng đã được phát hiện và loại bỏ".
Tin tốt là các gói đã được gỡ bỏ nhanh chóng khỏi kho lưu trữ npm trước khi chúng đạt được một số lượng lớn tải xuống.
Dưới đây là danh sách các gói được phát hiện bởi các chuyên gia:
Package Version Payload Infection Method
prerequests-xcode 1.0.4 Remote Access Trojan (RAT) Unknown
discord-selfbot-v14 12.0.3 Discord token grabber Typosquatting/Trojan (discord.js)
discord-lofy 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)
discordsystem 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)
discord-vilao 1.0.0 Discord token grabber Typosquatting/Trojan (discord.js)
fix-error 1.0.0 PirateStealer (Discord malware) Trojan
wafer-bind 1.1.2 Environment variable stealer Typosquatting (wafer-*)
wafer-autocomplete 1.25.0 Environment variable stealer Typosquatting (wafer-*)
wafer-beacon 1.3.3 Environment variable stealer Typosquatting (wafer-*)
wafer-caas 1.14.20 Environment variable stealer Typosquatting (wafer-*)
wafer-toggle 1.15.4 Environment variable stealer Typosquatting (wafer-*)
wafer-geolocation 1.2.10 Environment variable stealer Typosquatting (wafer-*)
wafer-image 1.2.2 Environment variable stealer Typosquatting (wafer-*)
wafer-form 1.30.1 Environment variable stealer Typosquatting (wafer-*)
wafer-lightbox 1.5.4 Environment variable stealer Typosquatting (wafer-*)
octavius-public 1.836.609 Environment variable stealer Typosquatting (octavius)
mrg-message-broker 9998.987.376 Environment variable stealer Dependency confusion
Các tác nhân đe dọa đằng sau các gói này tập trung vào các tài khoản Discord vì nhiều lý do như:
Dùng máy chủ Discord như một phần của cơ sở hạ tầng lệnh & kiểm soát (C2) đằng sau chiến dịch phần mềm độc hại;
Dùng máy chủ Discord như một kênh lọc ẩn danh;
Phát tán phần mềm độc hại cho người dùng Discord;
Bán tài khoản trả phí Discord Nitro bị đánh cắp;
Các nhà nghiên cứu đã nhấn mạnh tính khả dụng của rất nhiều công cụ lấy mã thông báo Discord trên GitHub, cùng với các hướng dẫn xây dựng, do sự phổ biến của nền tảng này như một vectơ tấn công. Điều này có nghĩa là kẻ tấn công có thể dễ dàng phát triển phần mềm độc hại tùy chỉnh của nó mà không cần kỹ năng lập trình sâu rộng trong vài phút.
Các thư viện cho phép đánh cắp mã thông báo truy cập Discord và các biến môi trường từ các hệ thống đang chạy, cấp cho những kẻ tấn công toàn quyền truy cập vào tài khoản Discord của nạn nhân.
Các chuyên gia chỉ ra rằng các gói độc hại sử dụng các chiến thuật lây nhiễm khác nhau.
“Chúng tôi đã tiết lộ 17 gói độc hại này cho những người duy trì mã npm và các gói này đã nhanh chóng bị xóa khỏi kho lưu trữ npm - một dấu hiệu tốt cho thấy những gói này thực sự đang gây ra sự cố”. “May mắn thay, các gói này đã bị xóa trước khi chúng có thể tăng số lượng lớn tải xuống (dựa trên bản ghi npm), vì vậy chúng tôi đã tránh được một tình huống tương tự như lần tiết lộ PyPI gần đây nhất của chúng tôi, nơi các gói độc hại đã được tải xuống hàng chục nghìn lần trước khi chúng đã được phát hiện và loại bỏ".
Tin tốt là các gói đã được gỡ bỏ nhanh chóng khỏi kho lưu trữ npm trước khi chúng đạt được một số lượng lớn tải xuống.
Package Version Payload Infection Method
prerequests-xcode 1.0.4 Remote Access Trojan (RAT) Unknown
discord-selfbot-v14 12.0.3 Discord token grabber Typosquatting/Trojan (discord.js)
discord-lofy 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)
discordsystem 11.5.1 Discord token grabber Typosquatting/Trojan (discord.js)
discord-vilao 1.0.0 Discord token grabber Typosquatting/Trojan (discord.js)
fix-error 1.0.0 PirateStealer (Discord malware) Trojan
wafer-bind 1.1.2 Environment variable stealer Typosquatting (wafer-*)
wafer-autocomplete 1.25.0 Environment variable stealer Typosquatting (wafer-*)
wafer-beacon 1.3.3 Environment variable stealer Typosquatting (wafer-*)
wafer-caas 1.14.20 Environment variable stealer Typosquatting (wafer-*)
wafer-toggle 1.15.4 Environment variable stealer Typosquatting (wafer-*)
wafer-geolocation 1.2.10 Environment variable stealer Typosquatting (wafer-*)
wafer-image 1.2.2 Environment variable stealer Typosquatting (wafer-*)
wafer-form 1.30.1 Environment variable stealer Typosquatting (wafer-*)
wafer-lightbox 1.5.4 Environment variable stealer Typosquatting (wafer-*)
octavius-public 1.836.609 Environment variable stealer Typosquatting (octavius)
mrg-message-broker 9998.987.376 Environment variable stealer Dependency confusion
Các tác nhân đe dọa đằng sau các gói này tập trung vào các tài khoản Discord vì nhiều lý do như:
Dùng máy chủ Discord như một phần của cơ sở hạ tầng lệnh & kiểm soát (C2) đằng sau chiến dịch phần mềm độc hại;
Dùng máy chủ Discord như một kênh lọc ẩn danh;
Phát tán phần mềm độc hại cho người dùng Discord;
Bán tài khoản trả phí Discord Nitro bị đánh cắp;
Các nhà nghiên cứu đã nhấn mạnh tính khả dụng của rất nhiều công cụ lấy mã thông báo Discord trên GitHub, cùng với các hướng dẫn xây dựng, do sự phổ biến của nền tảng này như một vectơ tấn công. Điều này có nghĩa là kẻ tấn công có thể dễ dàng phát triển phần mềm độc hại tùy chỉnh của nó mà không cần kỹ năng lập trình sâu rộng trong vài phút.
Nguồn: Security Affair