npm اقدام به حذف دو بسته (Package) مخرب از روی این انباره کتابخانههای JavaScript کرده است. احتمال داده میشود کد مخرب تزریق شده در بستههای مذکور موجب نصب ابزار دسترسی از راه دور (Remote Access Trojan – RAT) بر روی دستگاه یکصد برنامهنویسی شده باشد که این بستهها را مورد استفاده قرار داده بودند.
به گزارش معاونت بررسی مرکز افتا به نقل از پایگاه اینترنتی ZDNet، این بستهها با عناوین jdb.js و db-json.js هر دو توسط یک برنامهنویس توسعه داده شده بودند. همچنین اینطور القا میشد که ابزاری سودمند برای آن دسته از برنامهنویسانی است که با فایلهای JSON سروکار دارند.
هر دوی این بستهها، حدود دو هفته پیش در انباره npm قرار گرفته بودند.
شرکت Sonatype که موفق به شناسایی بستههای مخرب مذکور شده گزارشی را در این خصوص منتشر کرده که بر طبق آن، اسکریپت تزریق شده در آنها پس از وارد شدن (Import) توسط توسعهدهندگان وب، اجرا میشوند.
در مرحله بعد، اسکریپت بررسیهای اولیه را بر روی دستگاه آلوده انجام داده و پس از دریافت و اجرای فایلی با نام patch.exe اقدام به نصب njRAT میکند. njRAT یک تروجان دسترسی از راه دور است که از سال ۲۰۱۵ در جریان کارزارهای جاسوسی و سرقت اطلاعات مورد استفاده قرار میگرفته است.
برای پرهیز از مسالهساز شدن دریافت njRAT، فایل patch.exe اقدام به دستدرازی به تنظیمات محلی دیواره آتش و افزودن قاعدهای جهت ثبت سرور فرماندهی (C۲) در فهرست سفید دستگاه میکند.
عملکردهای مذکور تنها در بسته jdb.js لحاظ شده و بسته دوم db-json.js – جهت مخفی ساختن ذات مخرب خود – فقط jdb.js را دریافت میکرده است.
از آنجا که آلودگی به هر بدافزار مبتنی بر RAT رخدادی جدی تلقی میشود npm به توسعهدهندگان وب توصیه کرده که در صورت نصب هر یک از این دو بسته، سیستم خود را بهطور کامل هک شده تلقی کنند.
در توصیهنامه npm تأکید شده که تمامی کلیدهای ذخیره شده بر روی دستگاه میبایست در اسرع وقت از روی دستگاهی دیگر به اصطلاح Rotate شوند.
همچنین با توجه به آنکه ممکن است که در نتیجه نصب هر کدام از بستههای مذکور، دسترسی کامل مهاجم به دستگاه فراهم شده باشد تضمینی نیست که حذف بسته موجب حذف نرمافزار مخرب نصب شده نیز شود.
npm در حالی در بازههای هفتگی اقدام به انتشار توصیهنامههای امنیتی میکند که اکثر آنها به وجود آسیبپذیریهایی در کد بستههای این انباره که ممکن است در آینده مورد بهرهجویی قرار بگیرند اشاره دارند.
به خصوص آن که از اواخر ماه آگوست تعداد کتابخانههایی که به عمد برای سرقت دادهها از روی سیستمهای آلوده طراحی شده بودند افزایش داشته است. نشانهای از آن که گروههایی از مهاجمان بر روی آلودهسازی دستگاه برنامهنویسان و احتمالا سرقت اطلاعات اصالتسنجی پروژههای حساس، منابع کد (Source Code) و داراییهای معنوی (Intellectual Property) یا حتی آمادهسازی حملات زنجیره تامین (Supply Chain) گستردهتر تمرکز دارند.
از جمله نمونههای اخیر این تهدیدات میتوان به موارد زیر اشاره کرد:
در اواخر ماه آگوست یک کتابخانه JavaScript مخرب در npm که برای سرقت فایلهای حساس از روی مرورگر و برنامه Discord طراحی شده بود شناسایی شد.
در اواخر ماه سپتامبر چهار کتابخانه JavaScript در npm که برای استخراج اطلاعات کاربر و ارسال آنها به یک صفحه عمومی GitHub طراحی شده بودند شناسایی شد.
در اواسط اکتبر سه کتابخانه npm اقدام به باز کردن شلهای معکوس (دربپشتی – Backdoor) بر روی دستگاههای آلوده کردند.
در اوایل نوامبر یک بسته npm که جهت باز کردن دربپشتی بر روی سیستمهای آلوده طراحی شده بود شناسایی شد.
باز هم در اوایل نوامبر یک بسته npm که برای سرقت فایلهای حساس ذخیره شده در مرورگرها و برنامه Discord طراحی شده بود شناسایی شد.
مشروح توصیه نامه npm در لینک زیر قابل مطالعه است:
https://www.npmjs.com/advisories/۱۵۸۴
گزارش Sonatype نیز در لینک زیر قابل دریافت است:
https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware
نشانههای آلودگی (IoC)
نشانی IP/URL:
۴۶,۱۸۵.۱۱۶.۲:۵۵۵۲
https://dl.dropbox[.]com/s/p۸۴aaz۲۸t۰hepul/Pass.exe
درهمساز:
d۶c۰۴cc۲۴۵۹۸c۶۳e۱d۵۶۱۷۶۸۶۶۳۸۰۸ff۴۳a۷۳d۳۸۷۶aee۱۷d۹۰e۲ea۰۱ee۹۵۴۰ff
۸۶c۱۱e۵۶a۱a۳fed۳۲۱e۹ddc۱۹۱۶۰۱a۳۱۸۱۴۸b۴d۳e۴۰c۹۶f۱۷۶۴bfa۰۵c۵dbf۲۱۲
منبع:
https://www.zdnet.com/article/malicious-npm-packages-caught-installing-remote-access-trojans
دیدگاه شما