Заражена вся экосистема: исследователи нашли целую фабрику по генерации вредоносных NPM-пакетов

Специалисты компании Checkmarx обнаружили, что хакерская группировка RED-LILI полностью автоматизировала создание и доставку в экосистему npm вредоносных пакетов, счет которых перевалил уже через тысячу. Эта атака против сообщества разработчиков является уникальной по своим масштабам и характерна полностью автоматизированным процессом. 

С чего все началось?

Исходным мотивом текущего расследования для Checkmarx послужили два предшествующих инцидента:

• Недавний громкий инцидент с популярным npm-пакетом node-ipc.
• Также на прошлой неделе аналитики компании JFrog обнаружили масштабную атаку, нацеленную на Azure-разработчиков. Вредоносная кампания включала в себя 218 токсичных пакетов npm, которые были ориентированы на кражу личной информации.

После этих двух громких скандалов дистрибьюция npm-пакетов заинтересовала специалистов Checkmarx, что привело к шокирующим для них самих результатам.

Что обнаружено?

Нынешняя экосистема распространения npm-пакетов, возможно, серьезно отравлена. По мнению исследователей, осуществляется попытка проведения атаки типа dependency confusion. Опасность новой атаки в том, что даже после обнаружения общей схемы генерации пакетов с харм-функциями, хакеры продолжают активно распространять малварь. Отдельно отметим, что специалисты уже многократно предупреждали о том, что экосистема npm (npmjs.com) уязвима для различных манипуляций и в своем текущем виде потенциально опасна.

Технические подробности атаки

 Главные особенности этой атаки:

• Операцию по созданию и публикации токсичных nmp, похоже, удалось полностью автоматизировать. Экосистема буквально наводнена поддельными пакетами, счет идет на тысячи подобных пакетов, которые продолжают выявляться.
• Принципиальной особенностью является то, что на этот раз публикация производится от имени разных пользователей (создание новорегов также автоматизировано), таким образом, нет единой точки распространения пакетов.
• Управляющий сервер, используемый неизвестными для управления атакой, также является адресом, на который передается вся украденная информация со скомпрометированной хост-системы. Постфактум, после анализа этой информации, злоумышленниками принимается решение о характере дальнейшего использования инфицированной системы.

В настоящий момент к противодействию привлечены команды двух популярных сервисов, которые подверглись набегу злоумышленников: NPM (npmjs.com) и PyPi (pypi.org). Специалисты считают, что атаку проводит хакерская группировка известная в даркнете как RED-LILI.

Checkmarx так описывает полный цикл создания зловредов:

 «Обычно злоумышленники используют одноразовые анонимные учетные записи npm, с которых и запускают свои атаки. Судя по всему, на этот раз злоумышленники полностью автоматизировали процесс создания новых учетных записей и создают новые учетные записи для каждого отдельного пакета, поэтому обнаруживать новые партии стало намного сложнее.

Хотя осмысленные имена пакетов подбирались тщательно, имена публикующих их пользователей представляют собой случайно сгенерированные строки. Обычно злоумышленники создают одного пользователя и осуществляют все атаки от лица этой учетной записи. По этому поведению мы можем сделать вывод, что злоумышленники выстроили процесс автоматизации от начала до конца, включая регистрацию новых пользователей и прохождение проверок OTP (One Time Password). В целом это затрудняет выявление новых векторов распространения атаки.

Стоит отметить, что после того, как учетная запись нового пользователя создана, ее можно настроить таким образом, чтобы далее для публикации пакета не требовался одноразовый пароль. Для этого можно использовать токен аутентификации и настройки для работы без 2FA»

Подведение итогов

В общей сложности команда Checkmarx на данный момент обнаружила больше тысячи вредоносных пакетов, опубликованных RED-LILI. Все пакеты были раскрыты командами безопасности сервисов NPM и PyPi, которые подключились к общему расследованию. Также большую помощь оказал провайдер услуг Multacom ISP, который невольно размещает инфраструктуру злоумышленников.

Checkmarx так подводит итоги:

«Злоумышленники постоянно совершенствуют свои навыки и усложняют жизнь исследователям и обычным разрабам, эта атака знаменует собой еще одну веху в их прогрессе. Распределяя пакеты по нескольким именам пользователей, атакующий усложняет задачу защитников в попытке уничтожить их всех “одним ударом”. Тем самым, конечно, повышая шансы заражения. 

Менеджеры пакетов должны установить больше мер безопасности, таких как интеграция Captcha в формы создания пользователя, чтобы справиться с ботами, использующими подобные системы автоматизации.»