Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Компрометация node-ipc: кража учетных данных через DNS

3
3 мин
Недавняя кампания, связанная с npm-пакетом node-ipc, привлекла внимание специалистов по кибербезопасности из-за внедрения зашифрованного malicious code, нацеленного на кражу учетных данных и создание backdoor-доступа. Речь идет о компрометации нескольких версий популярного компонента для межпроцессного взаимодействия в Node.js, который злоумышленники использовали как вектор атаки на supply chain. По данным отчета, вредоносные версии node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1 содержат зашифрованную нагрузку, встроенную в виде немедленно вызываемого функционального выражения IIFE в CommonJS-варианте пакета. При этом ESM (ECMAScript Module) wrapper остается чистой и не затронутой модификацией. ВПО ориентировано на сбор конфиденциальных данных, включая учетные данные, связанные с cloud providers, инструментами разработки и конфигурационными файлами, которые используются для управления инфраструктурой. Архитектура malicious code предусматривает несколько этапов: Особое внимание вызыва
Оглавление

Недавняя кампания, связанная с npm-пакетом node-ipc, привлекла внимание специалистов по кибербезопасности из-за внедрения зашифрованного malicious code, нацеленного на кражу учетных данных и создание backdoor-доступа. Речь идет о компрометации нескольких версий популярного компонента для межпроцессного взаимодействия в Node.js, который злоумышленники использовали как вектор атаки на supply chain.

Что произошло

По данным отчета, вредоносные версии node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1 содержат зашифрованную нагрузку, встроенную в виде немедленно вызываемого функционального выражения IIFE в CommonJS-варианте пакета. При этом ESM (ECMAScript Module) wrapper остается чистой и не затронутой модификацией.

ВПО ориентировано на сбор конфиденциальных данных, включая учетные данные, связанные с cloud providers, инструментами разработки и конфигурационными файлами, которые используются для управления инфраструктурой.

Как работает вредоносная нагрузка

Архитектура malicious code предусматривает несколько этапов:

  • profiling среды хоста;
  • enumeration локальных файлов;
  • compression и encryption собранных данных;
  • exfiltration через DNS TXT-запросы.

Особое внимание вызывает способ передачи информации: вместо привычных HTTP или HTTPS-запросов используется именно DNS TXT traffic. Это позволяет вредоносной активности обходить ряд стандартных сетевых механизмов защиты и маскировать обмен данными под обычную DNS-активность.

Для сокрытия операции злоумышленники применяют домен, имитирующий легитимную инфраструктуру Microsoft Azure. В отчете отмечается, что подключение идет к заранее определенной доменной зоне, визуально и функционально напоминающей Azure Static Web Apps, а наиболее заметный индикатор компрометации связан с доменом sh.azurestaticprovider.net.

Целевые среды и логика поведения

Согласно материалу, вредоносное ПО различает среды macOS и Linux, что указывает на продуманную адаптацию под разные платформы. Такой подход позволяет злоумышленникам точнее подбирать поведение payload и повышает эффективность атаки.

При этом в вредоносном коде не обнаружены механизмы persistence. Это означает, что его воздействие, по всей видимости, ограничивается начальной фазой выполнения: сбором данных и их отправкой наружу.

История компрометаций node-ipc

Это не первая инцидентная ситуация, связанная с данным пакетом. Предыдущие компрометации node-ipc включали:

  • версии с гео-таргетингом, уничтожавшие файлы в зависимости от местоположения системы;
  • несанкционированное поведение записи файлов.

Нынешний эпизод показывает, что популярные зависимости в экосистеме npm остаются привлекательной целью для supply chain attacks, особенно когда речь идет о библиотеках, используемых в широком спектре проектов.

Рекомендации для пользователей и команд безопасности

Специалисты рекомендуют действовать без промедления:

  • удалить все скомпрометированные версии node-ipc;
  • проверить зависимости в собственных проектах;
  • немедленно сменить раскрытые учетные данные;
  • мониторить системы на предмет необычных DNS-запросов;
  • обратить особое внимание на активность, связанную с sh.azurestaticprovider.net.

В отчете подчеркивается, что постоянный мониторинг network traffic и DNS behavior имеет решающее значение для защиты от подобных атак и сохранения целостности software dependencies.

Атрибуция остается неустановленной

Несмотря на технически выстроенную и явно целенаправленную операцию, достаточных доказательств для attribution пока нет. Лица, стоящие за этой кампанией, остаются неустановленными.

Вывод отчета однозначен: угрозы в цепочке поставок продолжают эволюционировать, а безопасность npm-зависимостей требует не только оперативной реакции на инциденты, но и постоянного контроля за поведением пакетов, сетевой активностью и DNS-трафиком.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Компрометация node-ipc: кража учетных данных через DNS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются