Tháng XNUMX vừa qua, hàng nghìn người dùng của hai thư viện mã nguồn mở phổ biến, “giả mạo” và “màu sắc,” đã bị sốc khi thấy các ứng dụng của họ bị hỏng và hiển thị dữ liệu vô nghĩa sau khi bị nhiễm gói độc hại. Và vào tháng XNUMX, một tác nhân đe dọa đã xuất bản 155 gói độc hại vào kho lưu trữ npm trong một chiến dịch đánh máy nhắm mục tiêu đến người dùng của 18 gói hợp pháp, kết hợp lại, thường có hơn 1.5 tỷ lượt tải xuống hàng tuần. Mục tiêu của kẻ tấn công? Để tải xuống và cài đặt phần mềm đánh cắp mật khẩu cửa sau/Trojan.

Đúng như tên gọi, gói độc hại là phần mềm được tạo ra với mục đích xấu. Điều khiến chúng đặc biệt đáng quan tâm là chúng cực kỳ dễ tạo. Hữu ích cho bất kỳ mục đích xấu nào, các gói này rất khó tránh và bị phát hiện, trừ khi bạn biết phải tìm gì.

Mối đe dọa đang phát triển nhanh

Các gói độc hại không phải là mới, nhưng chúng đang sinh sôi nảy nở với tốc độ đáng báo động. trong “của chúng tôiBáo cáo đặc biệt về gói độc hại,” Mend đã xác định mức tăng 315% trong các gói độc hại được xuất bản cho riêng npm và RubyGems từ năm 2021 đến năm 2022 và hy vọng xu hướng đó sẽ tiếp tục.

Một loại phần mềm độc hại, các gói độc hại sử dụng các kỹ thuật tương tự để lừa mọi người tải chúng xuống, nơi chúng tàn phá bên trong hệ thống của người dùng. Bởi vì các gói độc hại thường đến từ những nơi mà bạn nghĩ rằng bạn tin tưởng, nên chúng có hiệu quả bất thường.

Các gói độc hại là một cách tự động tạo vectơ tấn công hoặc lấy dữ liệu để kích hoạt một vectơ tấn công khác mà không yêu cầu bất kỳ hoạt động bổ sung nào từ kẻ tấn công. Bạn chỉ cần tải lên gói và để nó đi. Từ quan điểm của một tác nhân đe dọa, nỗ lực đã bỏ ra sẽ mang lại lợi nhuận cao. Không có gì đáng ngạc nhiên khi chúng ta đang chứng kiến ​​sự gia tăng chóng mặt của các gói độc hại.

Cấu tạo của một cuộc tấn công gói độc hại

Các gói độc hại được sử dụng để đánh cắp thông tin đăng nhập, lọc dữ liệu, biến ứng dụng thành mạng botnet hoặc xóa dữ liệu. Nhưng trước tiên, những kẻ tấn công cần lừa ai đó hoặc thứ gì đó tải xuống gói.

Những kẻ tấn công sử dụng bốn vectơ tấn công cơ bản cho các gói độc hại:

1. Đánh cắp thương hiệu: Khi kẻ tấn công có được hoặc giả định danh tính trực tuyến của một công ty khác hoặc chủ sở hữu của một gói và sau đó chèn mã độc hại. Phương pháp thứ hai đã được sử dụng trong cuộc tấn công vào trao đổi tiền điện tử dYdX. Trong trường hợp này, các phiên bản gói độc hại chứa một hook cài đặt sẵn làm cho nó xuất hiện như thể một tập lệnh CircleCI sắp được tải xuống.
2. Đánh máy: Giống như tên gọi của nó, cuộc tấn công này dựa trên một lỗi đánh máy đơn giản. Kẻ tấn công xuất bản gói độc hại có tên tương tự như gói phổ biến và đợi nhà phát triển viết sai tên gói và vô tình gọi phiên bản độc hại.
3. Chiếm quyền phụ thuộc: Kẻ tấn công giành được quyền kiểm soát kho lưu trữ công cộng để tải lên phiên bản độc hại mới.
4. Sự nhầm lẫn phụ thuộc: Một bổ sung gần đây hơn cho danh sách vectơ tấn công, sự nhầm lẫn phụ thuộc xảy ra khi một gói độc hại trong kho lưu trữ công khai có cùng tên với tên gói nội bộ. Kẻ tấn công sử dụng điều này để lừa các công cụ quản lý phụ thuộc tải xuống gói độc hại công khai.

Vì các gói độc hại vẫn còn tương đối mới nên các kỹ thuật mà kẻ tấn công sử dụng cũng không phức tạp. Những kẻ tấn công sử dụng các gói độc hại có xu hướng dựa vào bốn kỹ thuật phổ biến, bao gồm tập lệnh cài đặt lại và cài đặt sau, kỹ thuật trốn tránh cơ bản, lệnh trình bao và kỹ thuật giao tiếp mạng cơ bản. Trong trường hợp giao tiếp mạng, các gói độc hại sử dụng các phương thức cơ bản để triển khai, thực thi và giao tiếp trên máy. Đó là tin tốt cho những người bảo vệ, vì ngay cả khi gói được tải xuống thành công, nó vẫn tương đối dễ bị phát hiện khi triển khai.

Đối với các vectơ tấn công, những kẻ tấn công đang ngày càng áp dụng các kỹ thuật tinh vi hơn, chẳng hạn như phép đo từ xa, cho phép thu thập dữ liệu. Có nhiều cơ hội để những kẻ xấu tinh chỉnh việc sử dụng các gói độc hại. Chúng tôi hy vọng sẽ thấy các phương pháp tiếp cận đa dạng và nâng cao hơn cũng như các cuộc tấn công khó phát hiện hơn khi các tác nhân đe dọa phát triển các kỹ thuật của chúng.

Thoạt nhìn, thời điểm các gói độc hại được phát hành có vẻ ngẫu nhiên, nhưng nghiên cứu của chúng tôi cho thấy gần 25% được phát hành vào các buổi chiều thứ Năm. Chúng tôi cho rằng điều này là do những kẻ tấn công biết được mức độ phổ biến của các nhà cung cấp dịch vụ an ninh mạng có trụ sở tại Israel, nơi nhiều người coi Thứ Sáu và Thứ Bảy là cuối tuần. Ngoài ra, nhắm mục tiêu vào múi giờ của Israel, chúng tôi thấy các cuộc tấn công bắt đầu vào cuối buổi chiều khi tuần làm việc kết thúc.

Nguồn mở không có nghĩa là mùa mở

Lý do chính khiến các gói độc hại hoạt động hiệu quả là vì nguồn mở có thể truy cập công khai. Một người mới với các kỹ năng lập trình cơ bản không chỉ có thể dễ dàng tạo ra một gói độc hại, mà họ còn có thể dễ dàng xuất bản mã này lên các kho lưu trữ mã nguồn mở được hàng triệu nhà phát triển sử dụng. Cơ hội thành công đang rất có lợi cho họ.

Đây là lý do tại sao việc hiểu những gì được đưa vào các ứng dụng thông qua mã nguồn mở là rất quan trọng. Nếu các công ty chưa có, họ cần bắt đầu ưu tiên chuỗi cung ứng phần mềm của mình. Họ phải sử dụng một công cụ quét tự động có thể giám sát các thư viện và kho lưu trữ mã nguồn mở để tìm các lỗ hổng và các cuộc tấn công, đồng thời tận dụng các công cụ có thể giúp tạo hóa đơn nguyên liệu phần mềm (SBOM). Không giống như các lỗ hổng có thể tồn tại trong cơ sở mã trong nhiều tháng, các gói độc hại là mối đe dọa khẩn cấp đối với phần mềm và hệ thống.

Các cuộc tấn công như log4j và SolarWinds các tiêu đề vi phạm, nhưng chúng đại diện cho một phần rất nhỏ trong các cuộc tấn công không ngừng được tung ra hàng ngày đối với các ứng dụng. Mối đe dọa ngày càng tăng của các cuộc tấn công gói độc hại làm tăng thêm tính cấp bách đối với nhu cầu ngày càng tăng về cách tiếp cận mới đối với các chương trình bảo mật ứng dụng. Chỉ thông qua AppSec liên tục và tự động, các tổ chức mới có thể chiếm thế thượng phong trong cuộc chiến giành phần mềm bảo mật.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/anatomy-of-a-malicious-package-attack