AWS paketi širijo zlonamerno programsko opremo prek nedolžnih JPEG slik

Napadalci uporabili legitimne npm pakete za širjenje malware-a

V nedavni novici, objavljeni na spletni strani Cyber Press, je bilo razkrito, da so napadalci izkoristili legitimne pakete na registru npm za širjenje zlonamerne programske opreme. To sofisticirano napadanje je bilo doseženo z ukrivanjem škodljive kode v slikovnih datotekah. Napadalci so spremenili izvorno kodo v paketu “aws-s3-object-multipart-copy” in vstavili skrito skripto “loadformat.js”, ki je bila namenjena izvršitvi dodatnega malware-a.

Tehnika steganografije za skrivanje kode

Napadalci so uporabili steganografijo – tehniko skrivanja sporočil v slikah, da so skriti zlonamerno kodo. Ko je bil paket nameščen, je ta skrivna koda omogočila komunikacijo med okuženim sistemom in strežnikom za poveljevanje in nadzor (C2). S tem so napadalci lahko pošiljali ukaze napadenemu sistemu in prejemali povratne informacije.

Ukradene slike so imele naslednje imene: logo1.jpg (Intel), logo2.jpg (Microsoft) in logo3.jpg (AMD). Slika logo2.jpg je bila še posebej pomembna, saj je preverjala veljavnost slike, kar je omogočilo nadaljnjo analizo. Če slika ni bila veljavna, slike logo1.jpg in logo3.jpg pa so bile neveljavne, kar je pomenilo, da so bile nepopolne ali niso vsebovale potrebnih bajtov, se koda ni izvedla.

Dinamična funkcija in povezava z C2 strežnikom

Napadalci so nato ustvarili dinamično funkcijo, ki je izvajala skrito kodo, če je bila slika veljavna, ali pa se je izognila izvajanju škodljive kode, če ni bila. To je omogočilo, da so napadalci lahko izvajali skrito kodo, kadar je bila slika veljavna, ali pa izvedejo neškodljive akcije, kadar ni bila.

Nato so vzpostavili komunikacijo s C2 strežnikom ter pošiljali podatke o imenu računalnika in operacijskem sistemu. S tem so napadalci lahko pošiljali ukaze napadenemu sistemu in prejemali povratne informacije.

Pomembnost preverjanja odprtokodne programske opreme

Za uporabnike to pomeni, da morajo biti izjemno pozorni pri uporabi odprtokodne programske opreme in morajo preveriti, ali so paketi, ki jih uporabljajo, veljavni. Uporabniki bi morali uporabiti avtomatizirane odprave za preverjanje paketov in zagotoviti, da so paketi veljavni.

Ukrepi za preprečitev tovrstnih napadov

Uporabniki lahko sprejmejo naslednje korake za zaščito pred takšnimi napadi:

1. **Avtomatično preverjanje paketov**: Uporabniki lahko uporabljajo avtomatizirane sisteme za preverjanje paketov in zagotavljanje, da so paketi legitimni in varni.
2. **Preverjanje slik**: Redno preverjanje slik, ki jih uporabljajo paketi, je ključnega pomena. Uporabniki lahko pregledajo slike, da se prepričajo, da ne vsebujejo skrite zlonamerne kode.
3. **Avtomatično izvajanje varnostnih preverjanj**: Uporabniki lahko uporabijo avtomatizirane sisteme za varnostna preverjanja, ki preverjajo, ali so paketi veljavni pred nameščanjem.
4. **Preverjanje kode z orodji za analizo kode**: Uporabniki lahko uporabijo posebna orodja za analizo kode, da preverijo, ali vsebovana koda ni zlonamerna ali modificirana.

Detaljen opis rešitev za zaščito pred zlonamernimi paketi

Te rešitve pomembno prispevajo k zagotavljanju varnosti in zaščiti pred zlonamernimi napadi na npm pakete:

Avtomatično preverjanje paketov

Avtomatizirani sistemi za preverjanje paketov, kot so orodja za stalno integracijo (CI), lahko vključujejo preglede kode in validacijo paketov v procesu razvoja. S tem se zmanjša tveganje za namestitev zlonamerne kode. Podjetja lahko uporabljajo orodja, kot so Snyk, WhiteSource, in druge rešitve za preverjanje kode in paketov.

Preverjanje slik

Slike, ki so priložene paketom, je treba redno pregledovati. Uporaba programov za analizo slike se lahko izkaže za koristno pri preverjanju, ali slikovne datoteke vsebujejo skrito zlonamerno kodo. Skupaj s temi tehnikami je uporaba metod strojnega učenja za zaznavanje anomalij lahko dodaten zaščitni ukrep.

Avtomatična izvajanja varnostnih preverjanj

Programska oprema za varnostno preverjanje, kot so Fortify in Veracode, lahko preverijo pakete pred namestitvijo. To zagotavlja, da nameščeni paketi ne vsebujejo nobene zlonamerne kode.

Namig dneva

💡 Namig dneva: Redno posodabljajte in izvajajte varnostne preglede pri uporabi odprtokodne programske opreme, da bi zmanjšali tveganje za zlonamerne napade.

Avtomatično preverjanje za vse prenosne naprave

Za mobilne in namizne naprave je priporočena uporaba varnostne programske opreme, ki samodejno preverja in posodablja pakete, zmanjšuje tveganje za okužbe zlonamerne programske opreme. Kaspersky, Bitdefender in Malwarebytes so nekatera izmed priznanih orodij za to nalogo.

Sklep

Nenamestitev paketov brez preverjanja veljavnosti in varnostnih preverjanj povzroča večja tveganja, ki lahko negativno vplivajo na uporabnike in podjetja. Uporaba avtomatiziranih rešitev za preverjanje in varnostno analizo je ključna za zaščito pred zlonamernimi napadi na npm pakete. Njihova implementacija zagotavlja varnost in omogoča, da so uporabniki vedno korak pred morebitnimi grožnjami.

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!

Leave a Reply

Your email address will not be published. Required fields are marked *