Логотипы Intel, AMD и Microsoft атакуют разработчиков

Исследователи в области кибербезопасности выявили два вредоносных пакета на платформе npm, содержащих бэкдор-код для выполнения команд с удалённого сервера. Подозрительные пакеты, под именами «img-aws-s3-object-multipart-copy» и «legacyaws-s3-object-multipart-copy», были загружены 190 и 48 раз соответственно. На момент написания новости, они были удалены командой безопасности npm.

Компания Phylum, занимающаяся безопасностью программного обеспечения, в своём анализе отметила, что данные пакеты содержали сложную C2-функциональность, сокрытую в простых изображениях. Скрытая функциональность активировалась во время установки пакетов, а сами пакеты имитировали легитимную библиотеку npm под названием «aws-s3-object-multipart-copy», но имели изменённый файл «index.js», который запускал JavaScript-файл «loadformat.js».

JavaScript-файл обрабатывал три изображения, содержащие логотипы компаний Intel, Microsoft и AMD. Логотип Microsoft, например, использовался хакерами для извлечения и выполнения вредоносного кода. Этот код регистрировал нового клиента на C2-сервере, отправляя данные о хосте и операционной системе. Затем он переходил в режим ожидания команд, отправляемых атакующими. На последнем этапе результаты выполнения команд отправлялись обратно атакующим через определённую конечную точку.

Компания Phylum отметила значительное увеличение числа и сложности вредоносных пакетов, публикуемых в экосистемах с открытым исходным кодом в последние годы. «Эти атаки успешны. Крайне важно, чтобы разработчики и организации, занимающиеся безопасностью, осознавали это и были очень внимательны при использовании общедоступных opensource-библиотек», — говорится в заявлении компании.