Μια κακόβουλη εκστρατεία που οι ερευνητές παρατήρησαν ότι έγινε πιο περίπλοκη το τελευταίο εξάμηνο, έχει φυτέψει σε πλατφόρμες ανοιχτού κώδικα εκατοντάδες πακέτα κλοπής πληροφοριών που μετρούσαν περίπου 75.000 λήψεις.
Η εκστρατεία παρακολουθείται από τις αρχές Απριλίου από αναλυτές της ομάδας Supply Chain Security της Checkmarx, οι οποίοι ανακάλυψαν 272 πακέτα με κώδικα για την κλοπή ευαίσθητων δεδομένων από στοχευμένα συστήματα.
Η επίθεση έχει εξελιχθεί σημαντικά από τότε που εντοπίστηκε για πρώτη φορά, με τους συντάκτες του πακέτου να εφαρμόζουν όλο και πιο εξελιγμένα επίπεδα συσκότισης και τεχνικές αποφυγής ανίχνευσης.
Κλοπή δεδομένων και κρυπτογράφησης
Οι ερευνητές λένε ότι αρχίζουν να βλέπουν ένα μοτίβο «μέσα στο οικοσύστημα Python από τις αρχές Απριλίου 2023».
Ένα παράδειγμα που παρέχεται είναι το αρχείο «_init_py», το οποίο φορτώνεται μόνο αφού ελέγξει ότι εκτελείται σε ένα σύστημα προορισμού και όχι σε εικονικό περιβάλλον – τυπικό σημάδι ενός κεντρικού υπολογιστή ανάλυσης κακόβουλου λογισμικού.
Έλεγχος για εικονικοποίηση
(Checkmarx)
Μόλις ξεκινήσει, στοχεύει τις ακόλουθες πληροφορίες για τα μολυσμένα συστήματα:
- Εργαλεία προστασίας από ιούς που εκτελούνται στη συσκευή.
- Λίστα εργασιών, κωδικοί πρόσβασης Wi-Fi και πληροφορίες συστήματος.
- Διαπιστευτήρια, ιστορικό περιήγησης, cookies και πληροφορίες πληρωμής που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού.
- Δεδομένα σε εφαρμογές πορτοφολιού κρυπτονομισμάτων όπως το Atomic και το Exodus.
- Διαφωνήστε τα σήματα, τους αριθμούς τηλεφώνου, τις διευθύνσεις email και την κατάσταση nitro.
-
Δεδομένα χρήστη
Minecraft
και
Roblox
.
Επιπλέον, το
κακόβουλο λογισμικό
μπορεί να τραβήξει στιγμιότυπα οθόνης και να κλέψει μεμονωμένα αρχεία από το παραβιασμένο σύστημα, όπως οι κατάλογοι Επιφάνεια εργασίας, Εικόνες, Έγγραφα, Μουσική, Βίντεο και Λήψεις.
Το πρόχειρο του θύματος παρακολουθείται επίσης συνεχώς για διευθύνσεις κρυπτονομισμάτων και το κακόβουλο λογισμικό τα ανταλλάσσει με τη διεύθυνση του εισβολέα για να εκτρέψει τις πληρωμές σε πορτοφόλια υπό τον έλεγχό του.
Η λειτουργία κουρευτικής μηχανής
(Checkmarx)
Οι αναλυτές εκτιμούν ότι η καμπάνια έχει κλέψει άμεσα περίπου 100.000 δολάρια σε κρυπτονομίσματα.
Χειρισμός εφαρμογών
Αναφορές Checkmarx
ότι το κακόβουλο λογισμικό που χρησιμοποιείται σε αυτήν την καμπάνια προχωρά ένα βήμα παραπέρα από τις τυπικές λειτουργίες κλοπής πληροφοριών, συμμετέχοντας στη χειραγώγηση δεδομένων εφαρμογών για να επιφέρει ένα πιο αποφασιστικό πλήγμα.
Για παράδειγμα, το ηλεκτρονικό αρχείο της εφαρμογής διαχείρισης πορτοφολιού κρυπτονομισμάτων Exodus αντικαθίσταται για να τροποποιήσει τα βασικά αρχεία, επιτρέποντας στους εισβολείς να παρακάμψουν την Πολιτική Περιεχομένου-Ασφάλειας και να διεισδύσουν δεδομένα.
Χειρισμός της Εξόδου
(Checkmarx)
Στο Discord, εάν είναι ενεργοποιημένες ορισμένες ρυθμίσεις, το κακόβουλο λογισμικό εισάγει κώδικα JavaScript που εκτελείται κατά την
επα
νεκκίνηση του προγράμματος-πελάτη.
Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ένα σενάριο PowerShell σε ένα υπερυψωμένο τερματικό για να χειριστεί τους “κεντρικούς υπολογιστές” των
Windows
, έτσι ώστε τα προϊόντα ασφαλείας που εκτελούνται στη συσκευή που έχει παραβιαστεί να μην μπορούν να επικοινωνήσουν με τους διακομιστές τους.
Εξέλιξη της επίθεσης
Σύμφωνα με τους ερευνητές, ο κακόβουλος κώδικας από αυτήν την καμπάνια σε πακέτα από τον Απρίλιο ήταν σαφώς ορατός, καθώς ήταν απλό κείμενο.
Τον Μάιο, ωστόσο, οι συντάκτες των πακέτων άρχισαν να προσθέτουν κρυπτογράφηση για να εμποδίσουν την ανάλυση. Τον Αύγουστο, ο ερευνητής παρατήρησε ότι η συσκότιση πολλαπλών επιπέδων είχε προστεθεί στα πακέτα.
Base64 συσκότιση στον κώδικα
(Checkmarx)
Σε μια ξεχωριστή αναφορά από τον ερευνητή του Checkmarx, Yahuda Gelb, αναφέρθηκε ότι δύο από τα πιο πρόσφατα πακέτα χρησιμοποιήθηκαν όχι λιγότερο από
70 στρώματα συσκότισης
.
Επίσης, τον Αύγουστο, οι προγραμματιστές κακόβουλου λογισμικού συμπεριέλαβαν τη δυνατότητα απενεργοποίησης προϊόντων προστασίας από ιούς, πρόσθεσαν το Telegram στη λίστα των στοχευμένων εφαρμογών και εισήγαγαν ένα εναλλακτικό σύστημα εξαγωγής δεδομένων.
Εξέλιξη του κακόβουλου λογισμικού
(Checkmarx)
Οι ερευνητές προειδοποιούν ότι οι κοινότητες ανοιχτού κώδικα και τα οικοσυστήματα προγραμματιστών συνεχίζουν να είναι επιρρεπή σε επιθέσεις εφοδιαστικής αλυσίδας και οι παράγοντες απειλών ανεβάζουν κακόβουλα πακέτα σε ευρέως χρησιμοποιούμενα αποθετήρια και συστήματα ελέγχου εκδόσεων, όπως το GitHub ή μητρώα πακέτων όπως τα PyPi και NPM, καθημερινά.
Συνιστάται στους χρήστες να ελέγχουν εξονυχιστικά τα έργα και τους εκδότες πακέτων που εμπιστεύονται και να είναι προσεκτικοί σχετικά με την κατάθεση τυπογραφικών ονομάτων πακέτων.
Μια λίστα με τα κακόβουλα πακέτα που χρησιμοποιούνται σε αυτήν την καμπάνια είναι
διαθέσιμο εδώ
.