Les forfaits transportent des délais qui collectent d’abord des informations sur l’environnement, puis suppriment des répertoires d’applications entières.
Deux forfaits NPM malveillants ont été trouvés en faisant des services publics légitimes pour installer silencieusement les dérivations pour un effacement complet de la production.
Selon Socket Research, les packages «Express-API-Sync» et «System-Health-Sync-API» sont conçus pour le sabotage plutôt que pour un compromis financier de gain ou de chaîne d’approvisionnement, indiquant un nouveau produit adversaire pour la concurrence et les perturbations au niveau de l’État.
«Publié par NPM User botsailer à l’aide de courriels ANUPM019 @ gmail (.) Com, à la fois express-api-sync et system-health-sync-API enregistrer secrètement des points de terminaison cachés qui, lorsqu’ils sont déclenchés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui anéantissent des répertoires d’applications entières», a déclaré Kush Pandya, chercheur de Socket.
Les équipes et les CISO DEVSEC doivent définir la détection des indicateurs partagés de compromis (CIO) et se référer aux techniques d’attr & CK pour rester en avance sur les abus.
Packages se faisant passer pour la synchronisation des données et surveillant les services publics
Parmi les deux packages malveillants vus, Express-API-Sync semble emballer un punch plutôt émoussé, un utilitaire de synchronisation de données pour les bases de données sur les applications express. Les applications Express sont des applications Web construites à l’aide d’express.js, un cadre Web rapide et minimaliste pour Node.js.
Au lieu des fonctionnalités promises, le package implémente une porte dérobée à un seul usage qui attend la commande kill. « Le package exporte une fonction qui renvoie le middleware Express standard, ce qui le fait se fondre dans des applications Node.js typiques », a déclaré Pandya dans un article de blog. « Cependant, sur la première demande HTTP à tout point final de votre application, le code malveillant entre en action. »
Essentiellement, le code écoute une demande contenant une clé codée en dur «Default_123» et, lorsqu’elle est déclenchée, exécute une commande RM-RF * destructrice, supprimant tout dans le répertoire racine de l’application.
Le deuxième package, System-Health-Sync-API, est un peu plus furtif et sophistiqué, a ajouté Pandya. Se faisant passer pour un outil de surveillance du système, il collecte des données d’environnement et de système et expose plusieurs points de terminaison HTTP sans papiers tels que / RM-RF-ME et / destruct-host qui, lorsqu’ils sont frappés, exécutent les commandes de dérivation du système.
Le package de surveillance malveillant exfiltre les détails de l’exécution (comme le nom d’hôte, IP, CWD, l’environnement de hachage) par e-mail en utilisant des informations d’identification SMTP codées en dur, permettant aux attaquants de suivre les déploiements réussis.
Commande et contrôle intelligents et défaillants
Le package malveillant «Surveillance» est conçu pour détecter automatiquement l’OS – Unix hôte ou Windows – et le Framework du serveur (Express, Fasting ou HTTP natif). Il enregistre des routes destructrices spécifiques au système d’exploitation qui exécutent des lingettes de système de fichiers quel que soit l’environnement.
De plus, pour augmenter la fiabilité, le malware expose trois points de fin de porte dérobée: un module de reconnaissance par défaut, une voie de destructrice principale, plus un repli secondaire. Si un point de terminaison de destruction est bloqué ou négligé, l’attaquant peut toujours déclencher la destruction du système via un autre itinéraire.
« Les deux points de terminaison de destruction prennent en charge le mode à sec pour la reconnaissance et incluent la même logique de suppression multiplateforme, mais renvoient différents formats de réponse pour éviter les modèles de détection », a noté Pandya.
L’analyse de socket a révélé que le middleware était la cible parfaite pour ces abus et s’attend à plus d’attaques ciblant les systèmes spécifiques au framework (Express, Fastify, KOA), des packages qui modifient d’autres packages lors de l’exécution et des outils de sécurité qui peuvent créer des vulnérabilités. Les abus de NPM s’accumulent alors que Socket continue de découvrir plus d’activités malveillantes ciblant le greffe JavaScript populaire.
Plus récemment, il a rapporté 60 packages NPM volant des informations hôtes et réseau sensibles en un peu moins de deux semaines en direct. Cela suit les résultats antérieurs d’attaquants abusant de NPM avec des packages de frappe-carrétrés avec les fonctionnalités d’informations et des charges utiles d’exécution de code à distance visant à des développeurs multi-langues.
