В последно време специалисти по киберсигурност идентифицираха нова вълна от зловредни npm и Go пакети, които използват нетрадиционен метод за разпространение на зловреден софтуер. Вместо да се възползват от стандартните скриптове за изпълнение в npm, тези пакети използват задачи на Visual Studio Code (VS Code), за да инсталират Python-базиран инфостийлър на заразените системи.
Какво се случи?
Изследователите от JFrog и други киберсигурностни организации откриха две компрометирани npm пакети и няколко Go пакета, които при инсталация задействат изпълнението на Python скрипт, предназначен да събира чувствителна информация от потребителските машини. Тези зловредни пакети са насочени към Windows, Linux и macOS платформи, което показва широкия обхват на атаката.
Новият подход използва задачи, дефинирани в конфигурационните файлове на VS Code, за да стартира инфостийлъра, като по този начин избягва стандартните npm lifecycle скриптове, които обикновено се следят и блокират от системите за сигурност. Това позволява на атаката да остане незабелязана по-дълго време и да заобиколи някои от най-често използваните защитни мерки.
Защо това е важно?
npm и Go са сред най-популярните платформи за управление на пакети и библиотеки, използвани от милиони разработчици по света. Зловредните пакети в тези хранилища могат да засегнат огромен брой проекти и крайни потребители, особено ако се използват в продукционни среди. Използването на VS Code задачи като вектор за атака е нов и иновативен метод, който показва, че киберпрестъпниците постоянно търсят начини да заобиколят съществуващите защити.
Това също така подчертава необходимостта от по-задълбочен контрол и мониторинг на зависимостите и пакетите, които се използват в софтуерните проекти. Разработчиците и организациите трябва да бъдат по-внимателни при интегрирането на външни библиотеки и да използват инструменти за анализ на сигурността, които могат да откриват подобни нетрадиционни атаки.
По-широк контекст
В последните години се наблюдава нарастваща тенденция към компрометиране на популярни софтуерни хранилища с цел разпространение на зловреден код. Подобни атаки могат да имат сериозни последствия за индустрията, включително нарушаване на доверието в екосистемата на отворения код и потенциални финансови загуби за компаниите, които използват заразените библиотеки.
Използването на Python инфостийлър, който събира чувствителна информация от потребителските машини, може да доведе до изтичане на данни, кражба на идентичност и други сериозни проблеми за крайните потребители и организации. Този случай е пореден сигнал за необходимостта от засилване на мерките за сигурност в целия цикъл на разработка и разпространение на софтуер.
Какво може да последва?
Очаква се доставчиците на платформи като npm и Go да засилят контрола върху публикуваните пакети и да въведат допълнителни проверки за нетипично поведение, включително анализ на конфигурационни файлове като тези на VS Code. Разработчиците и организациите също трябва да адаптират своите процеси за сигурност, като включат по-стриктен мониторинг на зависимостите и използването на инструменти за статичен и динамичен анализ на кода.
В дългосрочен план тази инцидент подчертава важността на образованието и повишаването на осведомеността сред разработчиците относно потенциалните рискове от използването на външни библиотеки и новите техники за атака, които се появяват постоянно в киберсигурността.