NPM هو أكبر مدير حزم لـ Node Javascript يحتوي على ما يقرب من 1.5 مليون حزمة مع أكثر من 20 مليون تنزيل للحزم كل شهر.
تم استهداف حزمة NPM الضارة مطوري البرامج من خلال إساءة استخدام أداة الطرف الثالث الشرعية المعروفة باسم " ChromePass " ، وهي أداة لاستعادة كلمة المرور
يحمل مؤلف هذه الحزمة اسم chrunlee الذي طور بنشاط ما يقرب من 61 مستودعًا في GitHub ، كما تم ربط مستودع GitHub بموقع hxxps: // chrunlee (.) cn حيث ينشر الممثلون المقالات بنشاط.
وجد باحثون من Reversinglab أن هذه الحزمة تحتوي على 12 نسخة منشورة ، في المجموع أكثر من 1283 تنزيلًا منذ أن تم نشر الحزمة مبدئيًا في نهاية فبراير 2019.
سرقة حزمة NPM كلمات المرور
تم العثور على أنشطة ضارة من حزمة NPM " chrunlee " أثناء فحص الحزم العامة ، وهي تتقن العديد من المحاولات الخبيثة على مطوري البرامج.
تحتوي حزمة NPM على عدة أنواع من الملفات القابلة للتنفيذ (PE ، ELF ، MachO جنبًا إلى جنب مع ملفات Javascript بما في ذلك العديد من الإصدارات من حزمة nodejs_net_server التي تركز بشكل أساسي في هذا البحث.
اكتشف الباحثون أداة ChromePass المساعدة باسم "a.exe" والتي كانت موجودة داخل مجلد "lib" .
لم تكن أداة ChromePass ضارة ولكن المهاجم يسيء استخدامها لأداء سرقة كلمة المرور واستخراج بيانات الاعتماد حيث يمكن تشغيلها أيضًا من واجهة سطر الأوامر.
تحسين الوظائف
تم نشر ما يقرب من 12 إصدارًا لهذه الحزمة الخبيثة NPM مع 1،283 تنزيلًا منذ عام 2019 ، عندما تم نشر الإصدار الأول من هذه الحزمة.
من الإصدار الثاني من هذه الحزمة ، بدأ المهاجمون في تحسين الوظائف وأضفوا قشرة بعيدة مضيفة برنامجًا نصيًا لتنزيل أداة سرقة كلمة المرور المذكورة أعلاه عندما تمت ترقية الحزمة إلى الإصدار 1.1.0.
قال الباحثون: "في الإصدارين 1.1.1 و 1.1.2 ، تم تعديل هذا البرنامج النصي لتشغيل TeamViewer.exe بدلاً من ذلك ، ربما لأن المؤلف لم يرغب في الحصول على مثل هذا الاتصال الواضح بين البرامج الضارة وموقعه على الويب".
من أجل سرقة بيانات الاعتماد ، يخدع المهاجمون المستخدمين لتنفيذ الحزمة الخبيثة باستخدام تقنية الخطأ المطبعي التي سيتم من خلالها تثبيت الحزمة الخبيثة في نظام الضحية.
بمجرد تثبيت الحزمة وتنفيذها بنجاح ، يتم تحقيق الاستمرارية عن طريق تثبيت البرنامج النصي lib / test.js كخدمة Windows.
تفتح خدمة windows هذه منفذ 7353 للاستماع إلى الأوامر الواردة بما في ذلك قائمة محتوى الدليل ، والبحث عن الملفات ، وتحميل الملف ، وتنفيذ أوامر shell والشاشة ، وتسجيل الكاميرا.
أخيرًا ، ينفذ المهاجمون أمر Shell من خلال أداة الاختراق ChromePass التي تم تنزيلها مسبقًا.
وجد الباحثون أن إحصائيات تنزيل NPM تُظهر أنه تم تنزيل هذه الحزمة أكثر من 35000 مرة.
مؤشرات التسوية
الحزم المتأثرة و SHA1:odejs_net_server-1.0.0: f79e03d904fafc5171392d2e54e10057780f9c25 nodejs_net_server-1.0.1: 9027433ef11506f349e9d89ec83d8050e669e3fb nodejs_net_server-1.0.2: af2ec5a8e2a873e960f38d16e735dd9f52aa1e8b nodejs_net_server-1.0.3: 41b56bd5b7aaf6af3b9a35a9e47771708fddc172 nodejs_net_server-1.0.4: 3128ebd6c3e89dc2b5a7ecf95967a81a4cdde335 nodejs_net_server-1.0.5: eb9cfe52e304702f1cf0fb1cc11dfc3fb1b0eab7 nodejs_net_server-1.0.6: 4b518b15db29eb9a0d8d11d1642f73e9da1275ca nodejs_net_server -1.0.7: afe203e2d2cb295955915ba04edb079ae7697c62 nodejs_net_server-1.0.8: 6e9b1d8ce1bb49f0abc3bea62e0435912d35b458 nodejs_net_server-1.1.0: 9bf160389b0401435a2e5f8541688c1d5f877896 nodejs_net_server-1.1.1: 1be0fa1d44859e4c0bafc8317c1da1d4e897c1cc nodejs_net_server-1.1.2: 3cb0aeed9f260d38504677c834a5878b4eb59dc2 tempdownloadtempfile-1.0.0: ffbefb79bd6b72a0e42bc04e03b9f63aa9e859e5
0 تعليقات