Các gói npm, PyPI và RubyGems đang gửi dữ liệu nhà phát triển đến kênh Discord

[Starlink]

Các nhà nghiên cứu an ninh mạng đã xác định một số gói độc hại trên các hệ sinh thái npm, Python và Ruby sử dụng Discord làm kênh chỉ huy và kiểm soát (C2) để truyền dữ liệu bị đánh cắp đến các webhook do tác nhân kiểm soát.

Webhooks trên Discord là một cách để đăng tin nhắn lên các kênh trong nền tảng mà không cần người dùng bot hoặc xác thực, khiến chúng trở thành cơ chế hấp dẫn để kẻ tấn công đánh cắp dữ liệu vào kênh do chúng kiểm soát.

"Điều quan trọng là URL webhook thực chất chỉ cho phép ghi", Olivia Brown, nhà nghiên cứu của Socket, cho biết trong một bài phân tích. "Chúng không tiết lộ lịch sử kênh, và người bảo vệ không thể đọc lại các bài đăng trước đó chỉ bằng cách biết URL."

Công ty bảo mật chuỗi cung ứng phần mềm cho biết họ đã xác định được một số gói sử dụng webhook Discord theo nhiều cách khác nhau:

    mysql-dumpdiscord (npm), chuyển nội dung của các tệp cấu hình dành cho nhà phát triển như config.json,.env, ayarlar.js và ayarlar.json đến webhook Discord
    nodejs.discord (npm), sử dụng webhook Discord để có khả năng ghi lại các cảnh báo (một cách tiếp cận không mang tính độc hại)
    malinssx, malinus và maliinn (PyPI), sử dụng Discord làm máy chủ C2 bằng cách kích hoạt yêu cầu HTTP tới kênh mỗi khi các gói được cài đặt bằng cách sử dụng "pip install <tên gói>"
    sqlcommenter_rails (RubyGems.org), thu thập thông tin máy chủ, bao gồm nội dung của các tệp nhạy cảm như "/etc/passwd" và "/etc/resolv.conf" và gửi thông tin đó đến webhook Discord được mã hóa cứng

"Việc lạm dụng webhooks Discord làm C2 rất quan trọng vì nó đảo ngược tính kinh tế của các cuộc tấn công chuỗi cung ứng", Brown lưu ý. "Bằng cách miễn phí và nhanh chóng, các tác nhân đe dọa tránh lưu trữ và duy trì cơ sở hạ tầng của riêng chúng. Hơn nữa, chúng thường trà trộn vào mã thông thường và các quy tắc tường lửa, cho phép xâm nhập ngay cả từ các nạn nhân được bảo mật."

"Khi được ghép nối với các hook thời gian cài đặt hoặc tập lệnh xây dựng, các gói độc hại với cơ chế Discord C2 có thể âm thầm lấy cắp các tệp.env, khóa API và thông tin chi tiết về máy chủ từ máy của nhà phát triển và trình chạy CI từ rất lâu trước khi trình giám sát thời gian chạy phát hiện ra ứng dụng."

Tiết lộ này được đưa ra sau khi công ty cũng đã đánh dấu 338 gói tin độc hại do các tác nhân đe dọa từ Triều Tiên liên quan đến chiến dịch Phỏng vấn Lây lan phát tán, sử dụng chúng để phát tán các nhóm mã độc như HexEval, XORIndex và các trình tải mã hóa phân phối BeaverTail, thay vì trực tiếp phát tán trình đánh cắp JavaScript và trình tải xuống. Các gói tin này đã được tải xuống tổng cộng hơn 50.000 lần.

Nhà nghiên cứu bảo mật Kirill Boychenko cho biết : "Trong làn sóng mới nhất này, các tác nhân đe dọa từ Triều Tiên đã sử dụng hơn 180 nhân vật giả mạo liên kết với các bí danh npm và email đăng ký mới, đồng thời chạy hơn một chục điểm cuối chỉ huy và kiểm soát (C2)".

Mục tiêu của chiến dịch bao gồm các nhà phát triển Web3, tiền điện tử và blockchain, cũng như những người tìm việc trong lĩnh vực kỹ thuật, những người được tiếp cận trên các nền tảng chuyên nghiệp như LinkedIn với những cơ hội việc làm hấp dẫn. Các mục tiêu tiềm năng sau đó được hướng dẫn hoàn thành bài tập lập trình bằng cách sao chép một kho lưu trữ bị cài bẫy, tham chiếu đến một gói độc hại (ví dụ: eslint-detector) đã được xuất bản lên sổ đăng ký npm.

Khi được chạy cục bộ trên máy, gói được tham chiếu trong dự án giả định này sẽ hoạt động như một kẻ đánh cắp (tức là BeaverTail) để thu thập thông tin đăng nhập trình duyệt, dữ liệu ví tiền điện tử, macOS Keychain, thao tác phím, nội dung bảng tạm và ảnh chụp màn hình. Phần mềm độc hại này được thiết kế để tải xuống các dữ liệu bổ sung, bao gồm một backdoor Python đa nền tảng có tên mã là InvisibleFerret.

Trong số hàng trăm gói tin được các hacker Triều Tiên tải lên, nhiều gói là bản sao chép của các gói tin hợp lệ (ví dụ: dotevn so với dotenv), đặc biệt là các gói tin liên quan đến Node.js, Express hoặc các framework front-end như React. Một số thư viện được xác định cũng được phát hiện là tương tự như các bộ công cụ Web3 (ví dụ: ethrs.js so với ethers.js).

" Phỏng vấn Lây lan không phải là một sở thích tội phạm mạng, nó hoạt động như một dây chuyền lắp ráp hoặc một mối đe dọa chuỗi cung ứng kiểu nhà máy", Boychenko nói. "Đây là một hoạt động do nhà nước chỉ đạo, dựa trên hạn ngạch với nguồn lực bền vững, chứ không phải một nhóm làm việc cuối tuần, và việc xóa một gói tin độc hại là không đủ nếu tài khoản nhà xuất bản liên quan vẫn còn hoạt động."

"Quỹ đạo của chiến dịch hướng đến một hoạt động bền vững, theo kiểu nhà máy, coi hệ sinh thái npm như một kênh truy cập ban đầu có thể tái tạo."