Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.
Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.
Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”
Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.
Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.
Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.
“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”
Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”
Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.
Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.
Sumber: The Register
