Недавно специалисты по кибербезопасности обнаружили вредоносный пакет Maven, который представляет серьезный риск для разработчиков, работающих с языком Java. Этот пакет содержит опечатки в популярной библиотеке scribejava-core, широко используемой для аутентификации OAuth. На данный момент библиотека имеет более 5,5 тыс. звезд на GitHub, что делает ее привлекательной мишенью для злоумышленников.
Как работает вредоносный пакет
Этот вредоносный пакет был представлен в январе 2024 года и может тайно перехватывать и удалять учетные данные OAuth, действуя лишь 15-го числа каждого месяца. Разработчики, случайно интегрировавшие этот артефакт в свои проекты, могут столкнуться с серьезными проблемами:
- Несанкционированный доступ к конфиденциальным платежным API;
- Потенциальные мошеннические транзакции, которые могут оставаться незамеченными длительное время.
Методы атаки
Атака включает в себя использование нескольких тактик, включая компрометацию цепочки поставок, что соответствует методам MITRE ATT&CK, таким как T1195.002. Вредоносное ПО применяет методы маскировки (T1036.005), чтобы выглядеть легитимным, используя имя, почти идентичное реальной библиотеке. Также используются шесть других зависимых пакетов, которые имитируют установленные аналоги.
Эти зависимые пакеты были опубликованы в тот же день, что и вредоносный артефакт, и используют тот же groupId (io.github.leetcrunch) вместо законного пространства имен (com.github.scribejava), что затрудняет их выявление.
Запутанный код и механизмы скрытия
Ключевым аспектом этой вредоносной полезной нагрузки является ее запутанный код, который активируется только в установленную дату. Этот подход позволяет избежать немедленного обнаружения, откладывая выполнение на несколько недель после установки. Такой механизм:
- Усложняет установление авторства;
- Делает трудным связывание установки вредоносного пакета с кражей учетных данных.
Злоумышленник также использует встроенные строки для создания динамических URL-адресов Pastebin, что способствует избеганию обнаружения и оставляет разработчиков с расплывчатыми, вводящими в заблуждение сообщениями об исключениях.
Потенциальные последствия
Если финтех-приложение неосознанно использует этот вредоносный пакет, последствия могут быть катастрофическими. Учетные данные удаляются ежемесячно, что позволяет злоумышленникам легко получать доступ к платежным сервисам, ведя к продолжающимся мошенническим транзакциям и значительным рискам для организации со стороны регулирующих органов.
Заключение
Данная ситуация наглядно демонстрирует, насколько важна бдительность и тщательное изучение сторонних библиотек при разработке программного обеспечения. Важно принимать все необходимые меры для защиты конфиденциальных данных от несанкционированного использования и мошеннических действий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Мавен-угроза кибербезопасности для разработчиков Java".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.