Škodlivé balíčky NPM zachytili spustený kryptominer Windows, Linux, zariadenia macOS

Tri knižnice JavaScript nahrané do oficiálneho úložiska balíkov NPM boli odhalené ako malvér na ťažbu kryptomien, čo opäť dokazuje, ako sa úložiská softvérových balíkov s otvoreným zdrojovým kódom stávajú lukratívnym cieľom na vykonávanie množstva útokov na Windows, macOS a Linux.

Predmetné škodlivé balíky – pomenované okhsa, klow a klow – boli publikované tým istým vývojárom a nepravdivo sa tvrdilo, že ide o analyzátory reťazcov user-agent založené na JavaScripte, ktoré sú určené na extrahovanie hardvérových špecifikácií z hlavičky HTTP „User-Agent“. Ale bez vedomia obetí, ktoré ich importovali, autor skryl malvér na ťažbu kryptomien vo vnútri knižníc.

Účet NPM zlého herca bol odvtedy deaktivovaný a všetky tri knižnice, z ktorých každá bola stiahnutá 112, 4, respektíve 65-krát, boli k 15. októbru 2021 odstránené z úložiska.

Útoky zahŕňajúce tri knižnice fungovali detekciou aktuálneho operačného systému pred spustením súboru .bat (napr. Windows) alebo skript .sh (pre operačný systém Unix). “Tieto skripty potom stiahnu externe hostovaný EXE alebo Linux ELF a spustia binárny súbor s argumentmi špecifikujúcimi ťažobný fond, ktorý sa má použiť, peňaženku na ťažbu kryptomeny a počet vlákien CPU, ktoré sa majú použiť,” bezpečnostný výskumník Sonatype Ali ElShakankiry povedal.

Zďaleka to nie je prvýkrát, čo sa v softvérových úložiskách objavil malvér číhajúci na brandjacking, preklepy a kryptominovanie.

Začiatkom júna Sonatype a JFrog (predtým Vdoo) identifikovali škodlivé balíčky prenikajúce do úložiska PyPI, ktoré tajne nasadili kryptomeny na postihnuté počítače. A to bez ohľadu na kopírovacie balíky pomenované po archívoch alebo komponentoch, ktoré interne používajú špičkové technologické spoločnosti v tom, čo je známe ako zmätok v závislosti.