
بروزرسانی: 01 تیر 1404
یافتن بدافزارهای رمزنگاری شده در بسته های منبع باز رایج است
مجموعه ای از هک های پرمخاطب که بسته های منبع باز محبوب را هدف قرار می دهند فاش شده اند که خطر فزاینده نفوذ کدهای م،ب به ابزارهای نرم افزاری پرکاربرد را آشکار می کند.
عوامل تهدید، ب،زار رمزنگاری را در بسته های مرتبط با r،k، یک بسته بندی جاوا اسکریپت، و vant، یک کتابخانه Vue UI برای برنامه های کاربردی وب موبایل، کاشتند. این ابزارها با هم صدها هزار بارگیری هفتگی را از npm، یک مدیر بسته اصلی، مشاهده می کنند.
به گفته نگهبانان r،k، نقض هایی که توسط محققان امنیتی در ReversingLabs کشف شد، بر نسخه های @r،k/core و @r،k/cli 1.1.7 تأثیر گذاشت که به سرعت حذف شدند و با نسخه های تمیز (1.1.8) جایگزین شدند.
به همین ترتیب، نسخه های در معرض خطر Vant (از 2.13.3 تا 4.9.14) با یک به روز رس، بدون ب،زار (نسخه 4.9.15) وصله شده اند. کد م،ب مورد استفاده در این بسته ها شامل XMRig cryptominer می شد که ابزاری رایج در حملات اخیر زنجیره تامین است.
یک سری تهدیدات منبع باز
این حوادث بخشی از یک روند گسترده تر در هک نرم افزار منبع باز است. چند هفته پیش، بازیگران م،ب @lottiefiles/lottie-player را هدف قرار دادند، یک افزونه ،میشن که بیش از 100000 بار در هفته دارد و شامل ب،زارهایی برای سرقت کیف پول های ارزهای دیجیتال است. حمله دیگری به کتابخانه بلاک چین Solana کیف پول کاربران را در معرض خطر قرار داد، در حالی که یک بسته بسیار دقیق پایتون برای توزیع عامل رمزنگاری XMRig مورد سوء استفاده قرار گرفت.
درباره تهدیدات کریپتو بیشتر بخو،د: هکرهای ارزهای دیجیتال با کنترل کره شمالی 2.2 میلیارد دلار سرقت ،د
ReversingLabs توضیح داد که نقض r،k و vant از کد npm دزدیده شده ناشی می شود و مهاجمان را قادر می سازد تا نسخه های آلوده را بارگیری کنند. در مورد Super Analytics، تزریق اسکریپت GitHub Actions و کد PyPI دزدیده شده حمله را تسهیل کرد. هر حادثه نشانه های واضحی مانند کد مبهم و اتصال غیرمجاز به سرورهای خارجی را نشان می داد.
شناسایی و جلوگیری از سازش
تحلیل افتراقی نقش تعیین کننده ای در کشف این تخلفات داشت. با مقایسه نسخه های پاک و م،ب، محققان فایل های جدید، جاوا اسکریپت مبهم و URL های خارجی مشکوک را کشف ،د.
لوسیا والنتیچ، محقق تهدیدات نرم افزاری در ReversingLabs، می گوید: «با انجام تجزیه و تحلیل تفاضلی بین دو نسخه نرم افزار، سیاست های دیفرانسیل می توانند رفتارها و تغییرات متمایز حملات زنجیره تأمین نرم افزار شناخته شده را شناسایی کنند و در نتیجه به طور بالقوه از آن حملات قبل از وقوع جلوگیری کنند».
تجزیه و تحلیل دیفرانسیل تنها یکی از راه های مبارزه با چنین حملاتی است. روش های دیگر شامل اجرای کنترل های دسترسی دقیق برای جلوگیری از تغییرات غیرمجاز، اسکن معمول وابستگی های نرم افزار برای آسیب پذیری ها و استفاده از ابزارهای خودکار برای نظارت بر رفتار مشکوک در به روزرس، های بسته است.
منبع: https://www.infosecurity-magazine.com/news/cryptomining-malware-opensource/