تم العثور على حزم npm ضارة باستخدام ملفات الصور لإخفاء رمز الباب الخلفي
حدد باحثو الأمن السيبراني حزمتين ضارتين في سجل حزمة npm تخفيان رمزًا خلفيًا لتنفيذ أوامر ضارة مرسلة من خادم بعيد.
لقد تم تنزيل الحزمتين المعنيتين – img-aws-s3-object-multipart-copy وlegacyaws-s3-object-multipart-copy. 190 و 48 مرة كل. حتى وقت كتابة هذا التقرير، تم إزالتها من قبل فريق الأمن npm.
“لقد كانت تحتوي على وظائف أوامر وتحكم متطورة مخبأة في ملفات الصور التي سيتم تنفيذها أثناء تثبيت الحزمة،” شركة أمن سلسلة توريد البرمجيات Phylum قال في التحليل.
تم تصميم الحزم لانتحال شخصية مكتبة npm شرعية تسمى aws-s3-object-multipart-copy، ولكن يأتي مع نسخة معدلة من الملف “index.js” لتنفيذ ملف JavaScript (“loadformat.js”).
من جانبه، تم تصميم ملف جافا سكريبت لمعالجة ثلاث صور – تتميز بشعارات الشركات الخاصة بشركة Intel وMicrosoft وAMD – مع الصورة المقابلة لشعار Microsoft المستخدم لاستخراج المحتوى الضار وتنفيذه.
يعمل الكود عن طريق تسجيل العميل الجديد بخادم القيادة والتحكم (C2) عن طريق إرسال اسم المضيف وتفاصيل نظام التشغيل. ثم يحاول بعد ذلك تنفيذ الأوامر التي يصدرها المهاجم بشكل دوري كل خمس ثوانٍ.
في المرحلة النهائية، يتم إرجاع مخرجات تنفيذ الأوامر إلى المهاجم عبر نقطة نهاية محددة.
وقالت Phylum: “في السنوات القليلة الماضية، شهدنا ارتفاعًا كبيرًا في تعقيد وحجم الحزم الضارة المنشورة في الأنظمة البيئية مفتوحة المصدر”.
“لا يخطئن أحد، فهذه الهجمات ناجحة. ومن الضروري للغاية أن يدرك المطورون والمنظمات الأمنية على حد سواء هذه الحقيقة تمامًا وأن يكونوا يقظين للغاية فيما يتعلق بالمكتبات مفتوحة المصدر التي يستهلكونها.”
إرسال التعليق