Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
https://www.secnews.gr/646240/kakovoula-paketa-npm-stoxevoun-paypal/
Apr 14th 2025, 15:28
by Absenta Mia
Κακόβουλοι παράγοντες έχουν δημοσιεύσει κακόβουλα πακέτα NPM με σκοπό την κλοπή πληροφοριών και χρημάτων από χρήστες του PayPal και πορτοφολιών κρυπτονομισμάτων.
Δείτε επίσης: Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
Η Fortinet ανακάλυψε ότι οι χρήστες του PayPal έχουν γίνει στόχος πολλών πακέτων NPM που κλέβουν πληροφορίες, τα οποία πιθανότατα δημιουργήθηκαν νωρίς τον Μάρτιο από έναν κακόβουλο παράγοντα γνωστό ως tommyboy_h1 και tommyboy_h2.
Τα πακέτα αυτά χρησιμοποίησαν θεματολογία σχετική με το PayPal, όπως oauth2-paypal και buttonfactoryserv-paypal, προκειμένου να παραπλανήσουν τους προγραμματιστές να τα εγκαταστήσουν. Για να αποφευχθεί η ανίχνευση, χρησιμοποιείται ένα προεγκαταστατικό hook στα κακόβουλα πακέτα.
Το hook αυτό διασφαλίζει ότι ένα κακόβουλο σενάριο εκτελείται αυτόματα πριν από την εγκατάσταση του πακέτου, με σκοπό τη συλλογή δεδομένων συστήματος και ευαίσθητων πληροφοριών, όπως ονόματα χρηστών και κωδικοί πρόσβασης, και την αποστολή τους σε έναν απομακρυσμένο διακομιστή μέσω μιας δυναμικά παραγόμενης διεύθυνσης URL.
Δείτε ακόμα: Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
Οι χρήστες των εφαρμογών πορτοφολιών κρυπτονομισμάτων Atomic Wallet και Exodus έχουν γίνει στόχος ενός κακόβουλου πακέτου NPM, προειδοποιεί η ReversingLabs, το οποίο έχει σχεδιαστεί για να παρεμποδίζει τις μεταφορές χρημάτων και να τις κατευθύνει σε διευθύνσεις κρυπτονομισμάτων που ελέγχονται από κακόβουλους παράγοντες.
Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
Το πακέτο, που ονομάζεται pdf-to-office και δημοσιεύθηκε τον Μάρτιο, προσποιείται ότι είναι μια βιβλιοθήκη που υποστηρίζει τη μετατροπή αρχείων PDF σε έγγραφα Microsoft Office. Ωστόσο, κατά την εκτέλεση, το πακέτο αντικαθιστά τα τοπικά αρχεία που χρησιμοποιούνται από το Atomic Wallet και το Exodus με κακόβουλες εκδόσεις που διατηρούν τη νόμιμη λειτουργικότητα του αρχικού, αλλά αντικαθιστούν τις εξερχόμενες διευθύνσεις κρυπτονομισμάτων με τη διεύθυνση του επιτιθέμενου.
Ο κακόβουλος κώδικας παρατηρήθηκε επίσης να στέλνει ένα αρχείο ZIP σε απομακρυσμένο διακομιστή, υποδεικνύοντας ότι θα μπορούσε επίσης να συλλέγει ευαίσθητες πληροφορίες από ένα μολυσμένο σύστημα. Η ReversingLabs προειδοποιεί ότι οι επηρεαζόμενοι χρήστες θα πρέπει να αφαιρέσουν εντελώς τις εφαρμογές πορτοφολιών που έχουν παραβιαστεί και να τις επανεγκαταστήσουν. Διαφορετικά, ακόμη και αν το κακόβουλο πακέτο NPM αφαιρεθεί, τα πορτοφόλια θα συνεχίσουν να στέλνουν κεφάλαια στη διεύθυνση του επιτιθέμενου.
Δείτε επίσης: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Κακόβουλα πακέτα NPM, όπως αυτό που επηρεάζει τους χρήστες PayPal, είναι βιβλιοθήκες που έχουν δημοσιευτεί στο registry του Node Package Manager με σκοπό να προκαλέσουν βλάβη, να κλέψουν δεδομένα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Συνήθως μεταμφιέζονται ως χρήσιμα ή δημοφιλή πακέτα, είτε με ονόματα παρόμοια με νόμιμα πακέτα (μέθοδος typosquatting), είτε ως εξαρτήσεις σε έργα ανοιχτού κώδικα που έχουν εγκαταλειφθεί ή έχουν παραβιαστεί από κακόβουλους χρήστες. Ένα συχνό παράδειγμα είναι πακέτα που περιέχουν κακόβουλο JavaScript κώδικα ο οποίος εκτελείται αυτόματα κατά την εγκατάσταση. Ορισμένα κακόβουλα πακέτα συλλέγουν credentials, tokens ή περιεχόμενα αρχείων και τα αποστέλλουν σε απομακρυσμένους servers. Άλλα προσπαθούν να εγκαταστήσουν backdoors ή να χρησιμοποιήσουν το μηχάνημα του χρήστη για cryptomining.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
https://www.secnews.gr/646240/kakovoula-paketa-npm-stoxevoun-paypal/
Apr 14th 2025, 15:28
by Absenta Mia
Κακόβουλοι παράγοντες έχουν δημοσιεύσει κακόβουλα πακέτα NPM με σκοπό την κλοπή πληροφοριών και χρημάτων από χρήστες του PayPal και πορτοφολιών κρυπτονομισμάτων.
Δείτε επίσης: Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
Η Fortinet ανακάλυψε ότι οι χρήστες του PayPal έχουν γίνει στόχος πολλών πακέτων NPM που κλέβουν πληροφορίες, τα οποία πιθανότατα δημιουργήθηκαν νωρίς τον Μάρτιο από έναν κακόβουλο παράγοντα γνωστό ως tommyboy_h1 και tommyboy_h2.
Τα πακέτα αυτά χρησιμοποίησαν θεματολογία σχετική με το PayPal, όπως oauth2-paypal και buttonfactoryserv-paypal, προκειμένου να παραπλανήσουν τους προγραμματιστές να τα εγκαταστήσουν. Για να αποφευχθεί η ανίχνευση, χρησιμοποιείται ένα προεγκαταστατικό hook στα κακόβουλα πακέτα.
Το hook αυτό διασφαλίζει ότι ένα κακόβουλο σενάριο εκτελείται αυτόματα πριν από την εγκατάσταση του πακέτου, με σκοπό τη συλλογή δεδομένων συστήματος και ευαίσθητων πληροφοριών, όπως ονόματα χρηστών και κωδικοί πρόσβασης, και την αποστολή τους σε έναν απομακρυσμένο διακομιστή μέσω μιας δυναμικά παραγόμενης διεύθυνσης URL.
Δείτε ακόμα: Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
Οι χρήστες των εφαρμογών πορτοφολιών κρυπτονομισμάτων Atomic Wallet και Exodus έχουν γίνει στόχος ενός κακόβουλου πακέτου NPM, προειδοποιεί η ReversingLabs, το οποίο έχει σχεδιαστεί για να παρεμποδίζει τις μεταφορές χρημάτων και να τις κατευθύνει σε διευθύνσεις κρυπτονομισμάτων που ελέγχονται από κακόβουλους παράγοντες.
Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
Το πακέτο, που ονομάζεται pdf-to-office και δημοσιεύθηκε τον Μάρτιο, προσποιείται ότι είναι μια βιβλιοθήκη που υποστηρίζει τη μετατροπή αρχείων PDF σε έγγραφα Microsoft Office. Ωστόσο, κατά την εκτέλεση, το πακέτο αντικαθιστά τα τοπικά αρχεία που χρησιμοποιούνται από το Atomic Wallet και το Exodus με κακόβουλες εκδόσεις που διατηρούν τη νόμιμη λειτουργικότητα του αρχικού, αλλά αντικαθιστούν τις εξερχόμενες διευθύνσεις κρυπτονομισμάτων με τη διεύθυνση του επιτιθέμενου.
Ο κακόβουλος κώδικας παρατηρήθηκε επίσης να στέλνει ένα αρχείο ZIP σε απομακρυσμένο διακομιστή, υποδεικνύοντας ότι θα μπορούσε επίσης να συλλέγει ευαίσθητες πληροφορίες από ένα μολυσμένο σύστημα. Η ReversingLabs προειδοποιεί ότι οι επηρεαζόμενοι χρήστες θα πρέπει να αφαιρέσουν εντελώς τις εφαρμογές πορτοφολιών που έχουν παραβιαστεί και να τις επανεγκαταστήσουν. Διαφορετικά, ακόμη και αν το κακόβουλο πακέτο NPM αφαιρεθεί, τα πορτοφόλια θα συνεχίσουν να στέλνουν κεφάλαια στη διεύθυνση του επιτιθέμενου.
Δείτε επίσης: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Κακόβουλα πακέτα NPM, όπως αυτό που επηρεάζει τους χρήστες PayPal, είναι βιβλιοθήκες που έχουν δημοσιευτεί στο registry του Node Package Manager με σκοπό να προκαλέσουν βλάβη, να κλέψουν δεδομένα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Συνήθως μεταμφιέζονται ως χρήσιμα ή δημοφιλή πακέτα, είτε με ονόματα παρόμοια με νόμιμα πακέτα (μέθοδος typosquatting), είτε ως εξαρτήσεις σε έργα ανοιχτού κώδικα που έχουν εγκαταλειφθεί ή έχουν παραβιαστεί από κακόβουλους χρήστες. Ένα συχνό παράδειγμα είναι πακέτα που περιέχουν κακόβουλο JavaScript κώδικα ο οποίος εκτελείται αυτόματα κατά την εγκατάσταση. Ορισμένα κακόβουλα πακέτα συλλέγουν credentials, tokens ή περιεχόμενα αρχείων και τα αποστέλλουν σε απομακρυσμένους servers. Άλλα προσπαθούν να εγκαταστήσουν backdoors ή να χρησιμοποιήσουν το μηχάνημα του χρήστη για cryptomining.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια