این ابزارهای NPM در واقع فقط بدافزار را نصب می کنند

شناسهٔ خبر: 266978 - تاریخ: فوریه 15, 2023

خبرکاو:
محققان امنیت سایبری از Check Point 16 بسته تایپ شده را در مخزن NPM کشف کرده اند که استخراج کنندگان ارزهای دیجیتال را نصب می کنند.
NPM یکی از محبوب‌ترین مخازن جاوا اسکریپت است که میزبان بیش از دو میلیون بسته منبع باز است که توسعه‌دهندگان می‌توانند از آن برای سرعت بخشیدن به توسعه نرم‌افزار استفاده کنند.
به این ترتیب، این یک هدف جذاب برای مجرمان سایبری است که در حملات زنجیره تامین شرکت می کنند. توسعه دهندگانی که بسته های مخرب را دانلود می کنند نه تنها نقاط پایانی خود را به خطر می اندازند، بلکه آنهایی را که در نهایت از محصولات آنها استفاده می کنند نیز به خطر می اندازند.

جعل هویت بسته تست سرعت

در این حادثه، یک عامل تهدید ناشناخته با استفاده از نام مستعار "trendava" 16 بسته مخرب را در 17 ژانویه آپلود کرد که همه آنها وانمود می کنند که تست کننده سرعت اینترنت هستند. نام همه آنها شبیه به یک تستر سرعت واقعی است، اما برای نصب یک ماینر ارز دیجیتال روی دستگاه مورد نظر طراحی شده اند. برخی از نام‌ها عبارتند از: speedtestbom، speedtestfast، speedtestgo و speedtestgod.

بیشتر بخوانید

اپل با 700 امتیاز قیمت جدید کنترل قیمت اپ استور را کاهش می دهد، پشتیبانی از قیمت هایی که به 99.9 دلار ختم نمی شوند.

یک ماینر ارز دیجیتال از قدرت پردازش کامپیوتر، برق و اینترنت برای تولید توکن‌ها استفاده می‌کند که بعداً می‌توانند در صرافی برای ارزهای فیات (دلار آمریکا، یورو و غیره) فروخته شوند. هنگامی که ماینر فعال است، تقریباً تمام قدرت محاسباتی دستگاه را اشغال می کند و آن را برای هر چیز دیگری بی فایده می کند. ماینرها این روزها بدافزار بسیار محبوبی هستند و عوامل تهدید به دنبال نصب XMRig بر روی سرورها و سایر دستگاه های قدرتمند هستند. XMRig مونرو (XMR) را استخراج می کند، یک سکه حریم خصوصی که ردیابی آن تقریبا غیرممکن است.

NPM همه بسته‌های مخرب را یک روز پس از آپلود، در 18 ژانویه حذف کرد.

محققان با توجه به این واقعیت که 16 بسته مشابه وجود دارد، گفتند که این احتمال وجود دارد که مهاجمان درگیر آزمون و خطا بوده باشند:

چک پوینت گفت: «منصفانه است که فرض کنیم این تفاوت‌ها آزمایشی است که مهاجم انجام داده است، بدون اینکه از قبل بدانیم کدام نسخه توسط ابزارهای شکارچی بسته‌های مخرب شناسایی می‌شود و پس روش‌های مختلفی را برای پنهان کردن قصد مخرب خود امتحان می‌کند. "به عنوان بخشی از این تلاش، ما مهاجم را دیدیم که فایل های مخرب را در GitLab میزبانی می کند. در برخی موارد، بسته های مخرب مستقیماً با استخرهای رمزنگاری تعامل داشتند و در برخی موارد، به نظر می رسد که از فایل های اجرایی برای این نیاز استفاده می کنند."