एक अन्य विशाल सॉफ़्टवेयर आपूर्ति-श्रृंखला हमले में, पासवर्ड-चोरी करने वाला क्रोमपास के माध्यम से विंडोज सिस्टम पर क्रोम से क्रेडेंशियल फाइल कर रहा है।
एक क्रेडेंशियल-चोरी कोड बम जो Google के क्रोम वेब ब्राउज़र में वैध पासवर्ड-रिकवरी टूल का उपयोग करता है, एनपीएम ओपन-सोर्स कोड रिपोजिटरी में छिपा हुआ पाया गया, जो उस स्रोत से कोड खींचने वाले ऐप्स की विशाल आकाशगंगा के भीतर लगाए जाने की प्रतीक्षा कर रहा था।
researchers ने windows system पर chrome से malware filching credentials को पकड़ा। पासवर्ड-चोरी करने वाला बहुक्रियाशील है: यह हमलावर के कमांड-एंड-कंट्रोल (C2) सर्वर से आने वाली कमांड को भी सुनता है और फाइल अपलोड कर सकता है, victim की स्क्रीन और कैमरे से रिकॉर्ड कर सकता है और शेल कमांड निष्पादित कर सकता है।
npm (मूल रूप से नोड पैकेज मैनेजर, या NPM के लिए छोटा) जावास्क्रिप्ट रनटाइम वातावरण Node.js के लिए डिफ़ॉल्ट पैकेज मैनेजर है, जो क्रोम के V8 javascript इंजन पर बनाया गया है। यह अन्य कोड रिपॉजिटरी जैसे कि GitHub, RubyGems और PyPI के समान है, क्योंकि यह एक (बहुत लंबी) software आपूर्ति chain का हिस्सा है।
पारिस्थितिकी तंत्र का वर्णन करने के लिए "विशाल" एक ख़ामोशी होगी: npm 1.5 मिलियन से अधिक अद्वितीय पैकेजों को होस्ट करता है, और दुनिया भर में लगभग 11 मिलियन डेवलपर्स के लिए प्रति दिन जावास्क्रिप्ट पैकेज के लिए 1 बिलियन से अधिक अनुरोधों को पूरा करता है।
Google ChromePass उपयोगिता का दुरुपयोग करना
text javascript फाइलों के अलावा, NPM में PE, ELF और MACH-O जैसे विभिन्न प्रकार के निष्पादन योग्य भी हैं। बुधवार की पोस्ट में अपने निष्कर्ष प्रकाशित करने वाले रिवर्सिंगलैब्स के शोधकर्ताओं ने कहा कि कोड रिपॉजिटरी के विश्लेषण के दौरान, उन्हें एक दिलचस्प एम्बेडेड विंडोज निष्पादन योग्य फ़ाइल मिली: एक क्रेडेंशियल-चोरी का खतरा। "Win32.Infostealer.Heuristics" लेबल किया गया, यह दो पैकेजों में दिखाई दिया: nodejs_net_server और temptesttempfile।
कम से कम अभी के लिए, पहला, मुख्य खतरा nodejs_net_server है। कुछ विवरण:
nodejs_net_server: फरवरी 2019 में पहली बार प्रकाशित होने के बाद से 12 प्रकाशित संस्करणों और कुल 1,300 से अधिक डाउनलोड वाला एक पैकेज। इसे अंतिम बार छह महीने पहले अपडेट किया गया था और इसे "chrunlee" नाम का उपयोग करने वाले किसी व्यक्ति द्वारा लिखा गया था। ReversingLabs के अनुसार, chrunlee भी GitHub पर एक सक्रिय डेवलपर प्रतीत होता है, जहाँ डेवलपर 61 रिपॉजिटरी पर काम कर रहा है।
static analysis का उपयोग करते हुए, researchers ने Win32.Infostealer.Heuristics फ़ाइल को nodejs_net_server पैकेज के कई संस्करणों में पाया। इसके मेटाडेटा से पता चला कि फ़ाइल का मूल नाम "a.exe" था और यह "lib" फ़ोल्डर के अंदर स्थित था। शोधकर्ताओं ने नोट किया कि इस तरह के विस्तार के साथ एक एकल-अक्षर फ़ाइल नाम शिकारियों के लिए एक लाल झंडा उठाता है। निश्चित रूप से, a.exe क्रोमपास नामक एक उपयोगिता के रूप में निकला: एक वैध उपकरण जिसका उपयोग क्रोम वेब ब्राउज़र के अंदर संग्रहीत पासवर्ड को पुनर्प्राप्त करने के लिए किया जाता है।
chrunlee ने 12 संस्करणों के माध्यम से nodejs_net_server पैकेज को बफ किया, जब तक कि इसे पिछले दिसंबर में पासवर्ड-स्टीलर डाउनलोड करने के लिए एक स्क्रिप्ट के साथ अपग्रेड नहीं किया गया, जिसे डेवलपर एक व्यक्तिगत वेबसाइट पर होस्ट करता है। बाद में इसके बजाय TeamViewer.exe चलाने के लिए इसे बदल दिया गया, "शायद इसलिए कि लेखक मैलवेयर और उनकी वेबसाइट के बीच ऐसा स्पष्ट संबंध नहीं रखना चाहता था," शोधकर्ताओं ने सिद्धांत दिया।
विश्लेषकों ने वर्णन किया कि chrunlee ने पहला संस्करण "केवल एक NPM पैकेज की प्रकाशन प्रक्रिया का परीक्षण करने के लिए" प्रकाशित किया। तीन महीने बाद, मैलवेयर निर्माता ने दूरस्थ शेल कार्यक्षमता को लागू किया जिसे बाद के कई संस्करणों में पॉलिश किया गया था। फिर, अप्रैल 2020 में, chrunlee ने संस्करण 1.0.7 और 1.0.8 में शेल कार्यक्षमता में मामूली संशोधन किए। अंत में, दिसंबर 2020 में, पासवर्ड-चोरी करने वाले टूल को डाउनलोड करने के लिए संस्करण 1.1.0 को एक स्क्रिप्ट के साथ अपडेट किया गया था
second problem package:
temptesttempfile: कुल 800 से अधिक डाउनलोड। विश्लेषकों ने देखा, "यह एक सिर-खरोंच का एक सा है, यह देखते हुए कि "इस पैकेज के लिए होमपेज और गिटहब रिपोजिटरी लिंक गैर-मौजूदा वेबपृष्ठों की ओर ले जाते हैं।"
Chrunlee के npm पैकेजों में से एक - tempdownloadtempfile - में गैर-मौजूदा लिंक भी हैं। इसकी फाइलों में से एक - file/test.js - उसी दूरस्थ शेल कार्यक्षमता को लागू करता है जो नोडज_नेट_सर्वर पैकेज के संस्करणों में पाई जाती है, लेकिन यह पैकेज निष्पादन अपहरण नहीं करता है, और इसमें एक दृढ़ता तंत्र का अभाव है, जिससे इसका उद्देश्य "ए थोड़ा अस्पष्ट, ”रिवर्सिंगलैब्स ने कहा।
fun devloper f-up
रिवर्सिंगलैब्स के विश्लेषकों ने नोडज_नेट_सर्वर कोड के माध्यम से एक विकास "मजेदार तथ्य" खोदा: इसके लेखक, क्रुनली ने न केवल एक क्रेडेंशियल-चोरी करने वाले को लिखा, बल्कि गलती से अपने स्वयं के, संग्रहीत लॉगिन क्रेडेंशियल, चीक-टू-जॉल को पासवर्ड धरनेवाला के साथ प्रकाशित किया, खोलना लेखक खुद पर हमला करने के लिए।
"ऐसा प्रतीत होता है कि npm रिपॉजिटरी से प्रकाशित संस्करण 1.1.1 और 1.1.2 में लेखक के व्यक्तिगत कंप्यूटर पर ChromePass टूल के परीक्षण के परिणाम शामिल हैं," शोधकर्ताओं ने देखा। "ये लॉगिन क्रेडेंशियल 'a.txt' फ़ाइल में संग्रहीत किए गए थे, जो पासवर्ड-रिकवरी टूल के समान फ़ोल्डर में स्थित है, जिसका नाम 'a.exe' है।
Another fun fact: उस टेक्स्ट फ़ाइल में chrunlees के ब्राउज़र से प्राप्त 282 लॉगिन क्रेडेंशियल हैं, जिनमें से कुछ अभी भी मान्य हो सकते हैं (रिवर्सिंगलैब्स ने उन्हें सत्यापित नहीं किया)। और, उनमें से कुछ क्रेडेंशियल में लंगड़े पासवर्ड (उदाहरण के लिए "111,") और उपयोगकर्ता नाम ("व्यवस्थापक," कोई भी?)
कुछ पासवर्ड जो मैलवेयर लेखक chrunlee ने अपने ब्राउज़र से पुनर्प्राप्त किए। स्रोत: रिवर्सिंग लैब्स।
"बस कुछ पुनर्प्राप्त क्रेडेंशियल्स को देखते हुए ... दिखाता है कि लेखक ने हमेशा सर्वोत्तम पासवर्ड नीति प्रथाओं की परवाह नहीं की," विश्लेषकों ने इनायत से समझा।
UPDATE: Bad Packages Now Removed
ReversingLabs ने 2 जुलाई को npm सुरक्षा टीम से संपर्क किया ताकि उन्हें nodejs_net_server और tempdownloadtempfile पैकेजों के बारे में जानकारी दी जा सके और पिछले हफ्ते गुरुवार को एक बार फिर से चक्कर लगाया, क्योंकि टीम ने अभी भी रिपॉजिटरी से पैकेज नहीं निकाले थे।
जब थ्रेटपोस्ट npm Inc. के पास पहुंचा, जो रिपॉजिटरी का रखरखाव करता है, तो GitHub के प्रवक्ता ने यह बयान भेजा: "हमारी जांच के बाद दोनों पैकेज हटा दिए गए।"
Earlier npm hijacks
यह पहली बार नहीं है जब npm में ज़हरीले कोड की घुसपैठ हुई हो। इस साल की शुरुआत में, तीन दुर्भावनापूर्ण सॉफ़्टवेयर पैकेज npm पर प्रकाशित किए गए थे; शोधकर्ताओं ने कहा कि कोड द्वारा दूषित कोई भी एप्लिकेशन डिस्कॉर्ड उपयोगकर्ताओं से टोकन और अन्य जानकारी चुरा सकता है।
जुलाई 2018 में, एक हमलावर ने एक ESLint अनुरक्षक के npm क्रेडेंशियल से समझौता किया और लोकप्रिय "eslint-scope" और "eslint-config-eslint" पैकेजों के दुर्भावनापूर्ण संस्करणों को npm रजिस्ट्री में प्रकाशित किया। दुर्भावनापूर्ण कोड ने एस्लिंट-स्कोप चलाने वाली मशीन के npm क्रेडेंशियल्स की प्रतिलिपि बनाई और उन्हें हमलावर पर अपलोड कर दिया।
कुछ महीने बाद, नवंबर 2018 में, एक और दुर्भावनापूर्ण पैकेज की खोज की गई: यह लोकप्रिय पैकेज, "इवेंट-स्ट्रीम" के संस्करण 3.3.6 पर निर्भरता थी। "फ्लैटमैप-स्ट्रीम" नामक दुर्भावनापूर्ण पैकेज में एक एन्क्रिप्टेड पेलोड होता है जिसे कोपे एप्लिकेशन से बिटकॉइन चोरी करने के लिए तैयार किया गया था।
रिपॉजिटरी तेजी से लोकप्रिय लक्ष्य हैं
जबकि तथ्य यह है कि यह मैलवेयर एनपीएम रजिस्ट्री पर तीन वर्षों से अधिक समय से पड़ा हुआ है, तथ्य यह है कि, शुक्र है कि उन वर्षों ने एंटीवायरस इंजनों को पकड़ने का मौका दिया है: वायरसटोटल दिखाता है कि 46 सुरक्षा विक्रेताओं ने ए को हरी झंडी दिखाई है। exe फ़ाइल दुर्भावनापूर्ण के रूप में। सोनाटाइप के वरिष्ठ सुरक्षा शोधकर्ता एक्स शर्मा, जिन्होंने बुधवार को थ्रेटपोस्ट को बताया कि क्रोम पासवर्ड-चोरी करने वाला मैलवेयर "आगे की पुष्टि करता है कि कैसे खुले स्रोत पारिस्थितिकी तंत्र पर हमले यहां रहने के लिए हैं और वर्षों तक अनिर्धारित रह सकते हैं।"
साइबरबैटकर क्रॉसहेयर में यह सिर्फ npm नहीं है, आप पर ध्यान दें। इस महीने की शुरुआत में, शोधकर्ताओं ने क्रिप्टोमाइनर्स के एक समूह पर ठोकर खाई, जिसने PyPI, उर्फ पायथन पैकेज इंडेक्स (PyPI) में घुसपैठ की, जो कि Python प्रोग्रामिंग भाषा में बनाए गए सॉफ़्टवेयर कोड का भंडार है।
रिपोर्ट के अनुसार, npm घुसपैठ इस बात का ताजा उदाहरण है कि कैसे डेवलपर्स थर्ड-पार्टी कोड पर बहुत अधिक भरोसा कर रहे हैं, तेजी से, आसान परिणाम प्राप्त करने के लिए पुस्तकालयों का पुन: उपयोग कर रहे हैं और "शायद ही कभी [बनाने] गहन सुरक्षा आकलन करने से पहले उनकी परियोजना। ”
दी, बाहर निकालने के लिए बहुत सारे कोड हैं।
रिवर्सिंगलैब्स के अनुसार, "यह चूक तीसरे पक्ष के कोड में पाए जाने वाले संभावित सुरक्षा मुद्दों की भारी प्रकृति और विशाल मात्रा का परिणाम है।" "इसलिए सामान्य तौर पर, पैकेजों को यह सत्यापित करने के लिए जल्दी से स्थापित किया जाता है कि क्या वे समस्या का समाधान करते हैं और यदि वे नहीं करते हैं, तो विकल्प पर आगे बढ़ें। यह एक खतरनाक अभ्यास है, और इससे दुर्भावनापूर्ण सॉफ़्टवेयर की आकस्मिक स्थापना हो सकती है।"
शर्मा ने कहा कि a.exe की खोज के बारे में विशेष बात यह है कि यह उपयोगकर्ता के क्रोम ब्राउज़र से पासवर्ड चुराने के लिए एक वैध पासवर्ड-रिकवरी विंडोज उपयोगिता, क्रोमपास को नियोजित करता है। उन्होंने ईमेल के माध्यम से कहा, "खतरे वाले अभिनेता अक्सर अपनी भयावह गतिविधियों का संचालन करने के लिए वैध घटकों और सेवाओं पर भरोसा करते हैं ताकि पहचान से बच सकें।"
रिपोर्ट के निष्कर्ष में, ReversingLabs ने नोट किया कि सॉफ़्टवेयर आपूर्ति-श्रृंखला हमले दुर्भावनापूर्ण अभिनेताओं के लिए "एक शक्तिशाली रणनीति" बन रहे हैं, डेवलपर्स को उनके संगठन और उसके ग्राहक आधार के लिए एक महत्वपूर्ण प्रवेश बिंदु के रूप में लक्षित किया जा रहा है।
रिपोर्ट में चेतावनी दी गई है, "डेवलपर्स को लक्षित करने वाले सबसे लगातार हमले वैक्टरों में से एक सार्वजनिक पैकेज रिपॉजिटरी का शोषण है।" "चूंकि इन रिपॉजिटरी में बड़ी संख्या में होस्ट किए गए पैकेज हैं, इसलिए वे मैलवेयर के छिपने के लिए एक अच्छा छिपने का स्थान प्रदान करते हैं। इन रिपॉजिटरी में दुर्भावनापूर्ण पैकेजों की बार-बार खोज ने साबित कर दिया है कि सुरक्षा समाधानों की बढ़ती आवश्यकता है जो विश्वसनीय पहचान और सुरक्षा प्रदान कर सकते हैं। इस प्रकार के हमलों के खिलाफ। ”
0 Comments