Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for JavaScript

JavaScript

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

by

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

by

Sistem arah lalu lintas baru (TDS) yang disebut Parrot mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

Penggunaan Parrot adalah untuk kampanye jahat untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke sumber daya online seperti situs phishing dan menjatuhkan malware.

Pelaku ancaman yang menjalankan kampanye jahat membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya.

Parrot TDS ditemukan oleh analis ancaman di Avast, yang melaporkan bahwa saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

Situs yang menampilkan peringatan pembaruan browser palsu (Avast)

Kampanye tampaknya telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

Pelaku ancaman telah menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola “parroting”.

Selain itu, musuh menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot.

Penerusan langsung dan proksi Parrot (Avast)

Avast mengatakan bahwa pada Maret 2022 saja layanannya melindungi lebih dari 600.000 kliennya dari mengunjungi situs yang terinfeksi ini, yang menunjukkan skala besar gerbang pengalihan Parrot.

Sebagian besar pengguna yang ditargetkan oleh pengalihan berbahaya ini berada di Brasil, India, Amerika Serikat, Singapura, dan Indonesia.

Pengalihan Parrot mencoba peta panas (Avast)

Seperti yang dijelaskan Avast dalam laporan, profil pengguna dan pemfilteran kampanye tertentu sangat disesuaikan sehingga pelaku jahat dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan.

Ini dicapai dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan perangkat keras, perangkat lunak, dan profil jaringan yang ekstensif.

Payload yang dijatuhkan pada sistem target adalah NetSupport Client RAT yang diatur untuk berjalan dalam mode senyap, yang menyediakan akses langsung ke mesin yang disusupi.

Detail payload yang dijatuhkan (Avast)

Sementara kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS, analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing.

Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Salah satu situs phishing yang dilayani oleh Parrot TDS (Avast)

Untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

  • Pindai semua file di server web dengan antivirus.
  • Ganti semua file JavaScript dan PHP di server web dengan yang asli.
  • Gunakan versi CMS dan versi plugin terbaru.
  • Periksa untuk menjalankan tugas secara otomatis di server web seperti tugas cron.
  • Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.
  • Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla

Sumber : Bleeping Computer

Dev Merusak NPM Library ‘color’ dan ‘faker’ melanggar ribuan aplikasi

by

Pengguna perpustakaan open-source populer ‘warna’ dan ‘faker’ dibiarkan tertegun setelah mereka melihat aplikasi mereka, menggunakan perpustakaan ini, mencetak data omong kosong dan melanggar.

Beberapa menduga jika perpustakaan NPM telah dikompromikan, tetapi ternyata ada lebih banyak cerita.

Pengembang perpustakaan ini sengaja memperkenalkan loop tak terbatas yang membangun ribuan proyek yang bergantung pada ‘warna’ dan ‘faker.’

Perpustakaan warna menerima lebih dari 20 juta unduhan mingguan di NPM saja dan memiliki hampir 19.000 proyek yang mengandalkannya. Sedangkan, faker menerima lebih dari 2,8 juta unduhan mingguan di NPM, dan memiliki lebih dari 2.500 tanggungan.

Revolusi Open Source?

Pengembang di balik perpustakaan NPM open-source populer ‘warna’ (alias color.js di GitHub) dan ‘faker’ (alias ‘faker.js’ di GitHub) sengaja memperkenalkan komit nakal di dalamnya yang berdampak pada ribuan aplikasi yang mengandalkan perpustakaan ini.

Kemarin, pengguna proyek open-source populer, seperti Amazon Cloud Development Kit (aws-cdk) tercengang melihat aplikasi mereka mencetak pesan omong kosong di konsol mereka.

Pesan-pesan ini termasuk teks ‘LIBERTY LIBERTY LIBERTY’ diikuti oleh urutan karakter non-ASCII:

Awalnya, pengguna menduga bahwa perpustakaan ‘warna’ dan ‘faker’ yang digunakan oleh proyek-proyek ini dikompromikan [1, 2, 3], mirip dengan bagaimana perpustakaan coa, rc, dan ua-parser-js dibajak tahun lalu oleh aktor jahat.

Tapi, pada kenyataannya, itu adalah dev di balik warna dan faker yang tampaknya telah sengaja melakukan kode yang bertanggung jawab atas kesalahan besar, seperti yang dilihat oleh BleepingComputer.

Pengembang, bernama Marak Squires menambahkan “modul bendera Amerika baru” ke perpustakaan warna.js kemarin dalam versi v1.4.44-liberty-2 yang kemudian ia dorong ke GitHub dan NPM.

Loop tak terbatas yang diperkenalkan dalam kode akan terus berjalan tanpa batas waktu; mencetak urutan karakter non-ASCII omong kosong tanpa henti pada konsol untuk aplikasi apa pun yang menggunakan ‘colors.’

Alasan di balik kenakalan ini di pihak pengembang tampaknya adalah pembalasan – terhadap mega-perusahaan dan konsumen komersial proyek open-source yang secara luas bergantung pada perangkat lunak bebas biaya dan bertenaga masyarakat tetapi tidak memberikan kembali kepada masyarakat.

Selengkapnya: Bleepingcomputer

Sekitar 26% dari semua ancaman JavaScript berbahaya dikaburkan

by

Sebuah penelitian yang menganalisis lebih dari 10.000 sampel beragam malware yang ditulis dalam JavaScript menyimpulkan bahwa sekitar 26% di antaranya dikaburkan (Obfuscated) untuk menghindari deteksi dan analisis.

Obfuscation adalah ketika kode sumber yang mudah dipahami diubah menjadi kode yang sulit dipahami dan membingungkan yang masih beroperasi sebagaimana dimaksud.

Pelaku ancaman biasanya menggunakan obfuscation untuk mempersulit analisis skrip berbahaya dan untuk melewati perangkat lunak keamanan.

Peneliti Akamai telah menganalisis 10.000 sampel JavaScript termasuk malware dropper, halaman phishing, alat scamming, snippet Magecart, cryptominers, dll.

Setidaknya 26% dari mereka menggunakan beberapa bentuk obfuscation untuk menghindari deteksi, menunjukkan peningkatan dalam adopsi teknik dasar namun efektif ini.

Sebagian besar sampel yang dikaburkan ini tampaknya memiliki kode yang serupa karena dibundel oleh packers yang sama, sehingga struktur kodenya terlihat serupa meskipun fungsinya berbeda.

Akamai berencana untuk mempresentasikan detail lebih lanjut tentang bagaimana mereka memfokuskan upaya deteksi mereka pada teknik pengemasan daripada kode file itu sendiri dalam konferensi SecTor yang akan datang.

Tetapi tidak semua obfuscation itu berbahaya atau rumit. Seperti yang dijelaskan dalam laporan, sekitar 0,5% dari 20.000 situs web peringkat teratas di web (menurut Alexa), juga menggunakan teknik obfuscation.

Dengan demikian, mendeteksi kode berbahaya berdasarkan fakta bahwa kode tersebut dikaburkan tidaklah cukup, dan korelasi lebih lanjut dengan fungsi berbahaya perlu dilakukan.

Selengkapnya: Bleeping Computer

Serangan baru oleh grup UltraRank

by

Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.

Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.

Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.

Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.

Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.

sumber : UltraRank

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

by

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

Paket npm berbahaya tertangkap basah menginstal trojan akses jarak jauh

by

Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm hari Senin ini karena berisi kode berbahaya yang memasang trojan akses jarak jauh (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.

Nama kedua paket tersebut adalah jdb.js dan db-json.js, Dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.

Kedua paket diunggah di registri paket npm minggu lalu dan diunduh lebih dari 100 kali sebelum perilaku jahat mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara teratur.

Menurut Ax Sharma dari Sonatype, dua paket berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua pustaka berbahaya tersebut.

Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, trojan akses jarak jauh yang sangat populer yang telah digunakan di operasi spionase dan pencurian data sejak 2015.

Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan pemuat patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan rule untuk memasukkan ke whitelist server perintah dan kontrolnya (C&C) sebelum melakukan ping kembali ke operatornya dan memulai unduhan RAT.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Worm Lama Tapi Teknik Obfuscation Baru

by

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU