Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
https://www.secnews.gr/644694/parabiasi-npm-packages-gia-klopi-dedomenon-programmatiston/
Mar 28th 2025, 12:46
by Digital Fortress
Δέκα npm packages έλαβαν κακόβουλο κώδικα, μέσω μιας ενημέρωσης, με στόχο να κλέψουν environment variables και άλλα ευαίσθητα δεδομένα από τα συστήματα προγραμματιστών.
Πολλά από τα packages σχετίζονται με κρυπτονομίσματα, ενώ επηρεάστηκε και το δημοφιλές 'country-currency-map' package.
Ο κακόβουλος κώδικας ανακαλύφθηκε από τον ερευνητή της Sonatype, Ali ElShakankiry, και βρίσκεται σε δύο heavily obfuscated scripts, τα "/scripts/launch.js" και "/scripts/diagnostic-report.js", τα οποία εκτελούνται κατά την εγκατάσταση του πακέτου.
Δείτε επίσης: Παραβίαση του NSW οδηγεί σε κλοπή 9.000+ αρχείων
Σύμφωνα με τη Sonatype, το JavaScript κλέβει environment variables (μεταβλητές περιβάλλοντος) της συσκευής και τις στέλνει στον απομακρυσμένο κεντρικό υπολογιστή "eoi2ectd5a5tn1h.m.pipedream(.)net)". Οι μεταβλητές περιβάλλοντος μπορούν να περιέχουν API keys, database credentials, cloud credentials και encryption keys, τα οποία προσελκύουν τους κακόβουλους hackers, αφού μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις.
Όπως εξηγεί ο αναλυτής κακόβουλου λογισμικού, Ax Sharma, ο κακόβουλος κώδικας είναι ίδιος σε όλα τα repositories και τα περισσότερα από αυτά ήταν "καθαρά" εδώ και χρόνια. Αυτό σημαίνει ότι πιθανότατα παραβιάστηκαν με κάποιο τρόπο τώρα.
Σύμφωνα με τον αναλυτή, η παραβίαση μπορεί να οφείλεται σε παλιά npm maintainer accounts που έχουν παραβιαστεί μέσω credential stuffing ή σε expired domain takeover. Δεδομένων των ταυτόχρονων επιθέσεων σε πολλαπλά npm packages από διαφορετικούς συντηρητές, το πρώτο σενάριο φαίνεται να είναι πιο πιθανό.
Δείτε επίσης: Πρόγραμμα κλοπής ιδιωτικών κλειδιών Ethereum στο PyPI έχει ληφθεί πάνω από 1.000 φορές
Παρακάτω μπορείτε να δείτε τα ονόματα πακέτων, τις παραβιασμένες εκδόσεις τους και τον αριθμό λήψης της κακόβουλης έκδοσης:
• country-currency-map: version 2.1.8, 288 λήψεις
• @keepkey/device-protocol: version 7.13.3, 56 λήψεις
• bnb-javascript-sdk-nobroadcast: version 2.16.16, 61 λήψεις
• @bithighlander/bitcoin-cash-js-lib: version 5.2.2, 61 λήψεις
• eslint-config-travix: version 6.3.1, 0 λήψεις
• babel-preset-travix: version 1.2.1, 0 λήψεις
• @travix/ui-themes: version 1.1.5, 0 λήψεις
• @veniceswap/uikit: version 0.65.34, 0 λήψεις
• @crosswise-finance1/sdk-v2: version 0.1.21, 0 λήψεις
• @veniceswap/eslint-config-pancake: version 1.6.2, 0 λήψεις
Τα npm packages, εκτός από το country-currency-map, εξακολουθούν να είναι διαθέσιμα στο npm, επομένως η λήψη τους θα μολύνει τα projects σας με κακόβουλο λογισμικό κλοπής πληροφοριών.
Ο συντηρητής του country-currency-map κατάργησε την κακόβουλη έκδοση (2.1.8) και άφησε μια σημείωση που έλεγε στους προγραμματιστές να χρησιμοποιήσουν την έκδοση 2.1.7.
Η υπόθεση ότι η επίθεση προκλήθηκε από μη επαρκή ασφάλεια του npm maintainer account υποστηρίζεται περαιτέρω από το γεγονός ότι τα αντίστοιχα GitHub repositories των παραβιασμένων projects δεν ενημερώθηκαν με κακόβουλο λογισμικό. Ορισμένα από τα packages που επηρεάστηκαν είναι παλαιότερα με την τελευταία τους ενημέρωση πριν από αρκετά χρόνια. Ως εκ τούτου, οι συντηρητές τους ενδέχεται να μην συμμετέχουν πλέον ενεργά και να μην εφαρμόζουν τα απαραίτητα μέτρα ασφαλείας.
Δείτε επίσης: Ευπάθειες σε εκτυπωτές Xerox επιτρέπουν κλοπή credentials
Τα κακόβουλα (ή μολυσμένα) npm packages αποτελούν σημαντική απειλή για το οικοσύστημα ανάπτυξης λογισμικού. Αυτά τα πακέτα συχνά μεταμφιέζονται ως νόμιμα εργαλεία, δελεάζοντας τους προγραμματιστές να τα συμπεριλάβουν στα έργα τους. Μόλις εγκατασταθούν, μπορούν να εκτελέσουν επιβλαβείς ενέργειες, όπως κλοπή ευαίσθητων δεδομένων, εισαγωγή κακόβουλου κώδικα ή παραβίαση συστημάτων. Οι εισβολείς χρησιμοποιούν συνήθως τεχνικές όπως το typosquatting ή το dependency hacking για να ξεγελάσουν τους χρήστες να κατεβάσουν αυτά τα πακέτα. Η διατήρηση της επαγρύπνησης, ο τακτικός έλεγχος των dependencies και η χρήση εργαλείων ασφαλείας για τον εντοπισμό τρωτών σημείων είναι βασικές πρακτικές για την προστασία από τέτοιες απειλές.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
https://www.secnews.gr/644694/parabiasi-npm-packages-gia-klopi-dedomenon-programmatiston/
Mar 28th 2025, 12:46
by Digital Fortress
Δέκα npm packages έλαβαν κακόβουλο κώδικα, μέσω μιας ενημέρωσης, με στόχο να κλέψουν environment variables και άλλα ευαίσθητα δεδομένα από τα συστήματα προγραμματιστών.
Πολλά από τα packages σχετίζονται με κρυπτονομίσματα, ενώ επηρεάστηκε και το δημοφιλές 'country-currency-map' package.
Ο κακόβουλος κώδικας ανακαλύφθηκε από τον ερευνητή της Sonatype, Ali ElShakankiry, και βρίσκεται σε δύο heavily obfuscated scripts, τα "/scripts/launch.js" και "/scripts/diagnostic-report.js", τα οποία εκτελούνται κατά την εγκατάσταση του πακέτου.
Δείτε επίσης: Παραβίαση του NSW οδηγεί σε κλοπή 9.000+ αρχείων
Σύμφωνα με τη Sonatype, το JavaScript κλέβει environment variables (μεταβλητές περιβάλλοντος) της συσκευής και τις στέλνει στον απομακρυσμένο κεντρικό υπολογιστή "eoi2ectd5a5tn1h.m.pipedream(.)net)". Οι μεταβλητές περιβάλλοντος μπορούν να περιέχουν API keys, database credentials, cloud credentials και encryption keys, τα οποία προσελκύουν τους κακόβουλους hackers, αφού μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις.
Όπως εξηγεί ο αναλυτής κακόβουλου λογισμικού, Ax Sharma, ο κακόβουλος κώδικας είναι ίδιος σε όλα τα repositories και τα περισσότερα από αυτά ήταν "καθαρά" εδώ και χρόνια. Αυτό σημαίνει ότι πιθανότατα παραβιάστηκαν με κάποιο τρόπο τώρα.
Σύμφωνα με τον αναλυτή, η παραβίαση μπορεί να οφείλεται σε παλιά npm maintainer accounts που έχουν παραβιαστεί μέσω credential stuffing ή σε expired domain takeover. Δεδομένων των ταυτόχρονων επιθέσεων σε πολλαπλά npm packages από διαφορετικούς συντηρητές, το πρώτο σενάριο φαίνεται να είναι πιο πιθανό.
Δείτε επίσης: Πρόγραμμα κλοπής ιδιωτικών κλειδιών Ethereum στο PyPI έχει ληφθεί πάνω από 1.000 φορές
Παρακάτω μπορείτε να δείτε τα ονόματα πακέτων, τις παραβιασμένες εκδόσεις τους και τον αριθμό λήψης της κακόβουλης έκδοσης:
• country-currency-map: version 2.1.8, 288 λήψεις
• @keepkey/device-protocol: version 7.13.3, 56 λήψεις
• bnb-javascript-sdk-nobroadcast: version 2.16.16, 61 λήψεις
• @bithighlander/bitcoin-cash-js-lib: version 5.2.2, 61 λήψεις
• eslint-config-travix: version 6.3.1, 0 λήψεις
• babel-preset-travix: version 1.2.1, 0 λήψεις
• @travix/ui-themes: version 1.1.5, 0 λήψεις
• @veniceswap/uikit: version 0.65.34, 0 λήψεις
• @crosswise-finance1/sdk-v2: version 0.1.21, 0 λήψεις
• @veniceswap/eslint-config-pancake: version 1.6.2, 0 λήψεις
Τα npm packages, εκτός από το country-currency-map, εξακολουθούν να είναι διαθέσιμα στο npm, επομένως η λήψη τους θα μολύνει τα projects σας με κακόβουλο λογισμικό κλοπής πληροφοριών.
Ο συντηρητής του country-currency-map κατάργησε την κακόβουλη έκδοση (2.1.8) και άφησε μια σημείωση που έλεγε στους προγραμματιστές να χρησιμοποιήσουν την έκδοση 2.1.7.
Η υπόθεση ότι η επίθεση προκλήθηκε από μη επαρκή ασφάλεια του npm maintainer account υποστηρίζεται περαιτέρω από το γεγονός ότι τα αντίστοιχα GitHub repositories των παραβιασμένων projects δεν ενημερώθηκαν με κακόβουλο λογισμικό. Ορισμένα από τα packages που επηρεάστηκαν είναι παλαιότερα με την τελευταία τους ενημέρωση πριν από αρκετά χρόνια. Ως εκ τούτου, οι συντηρητές τους ενδέχεται να μην συμμετέχουν πλέον ενεργά και να μην εφαρμόζουν τα απαραίτητα μέτρα ασφαλείας.
Δείτε επίσης: Ευπάθειες σε εκτυπωτές Xerox επιτρέπουν κλοπή credentials
Τα κακόβουλα (ή μολυσμένα) npm packages αποτελούν σημαντική απειλή για το οικοσύστημα ανάπτυξης λογισμικού. Αυτά τα πακέτα συχνά μεταμφιέζονται ως νόμιμα εργαλεία, δελεάζοντας τους προγραμματιστές να τα συμπεριλάβουν στα έργα τους. Μόλις εγκατασταθούν, μπορούν να εκτελέσουν επιβλαβείς ενέργειες, όπως κλοπή ευαίσθητων δεδομένων, εισαγωγή κακόβουλου κώδικα ή παραβίαση συστημάτων. Οι εισβολείς χρησιμοποιούν συνήθως τεχνικές όπως το typosquatting ή το dependency hacking για να ξεγελάσουν τους χρήστες να κατεβάσουν αυτά τα πακέτα. Η διατήρηση της επαγρύπνησης, ο τακτικός έλεγχος των dependencies και η χρήση εργαλείων ασφαλείας για τον εντοπισμό τρωτών σημείων είναι βασικές πρακτικές για την προστασία από τέτοιες απειλές.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz