4 بسته‌ی آلوده در مخزن npm

09 مرداد 1401 4 بسته‌ی آلوده در مخزن npm

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کد منبع باز برای صنعت آی‌تی موهبتی است. در حقیقت به برنامه‌نویسان کمک می‌کند تا در زمان خود صرفه‌جویی نموده محصولات را سریع‌تر تولید کرده و با رفع نیاز به نوشتن کدهای رایج تکراری، تولید محصولات را کارامدتر کنند. به منظور تسهیل اشتراک‌گذاری این دانش چندین مخزن وجود دارد- پلت‌فرم‌هایی باز که در آن‌ها هر توسعه‌دهنده‌ای می‌تواند بسته‌های خود را با کد آن‌ها نشر دهد تا بدین‌ترتیب پروسه توسعه برای سایر افراد سریع‌تر پیش رود. چنین مخزن‌هایی نیازهای مختلف جامعه‌ی آی‌تی را تأمین می‌کنند و به طور گسترده‌ای در توسعه‌ی هر نرم‌افزار مدرنی استفاده می‌شوند: اپ وبی، اپ موبایل، لوازم خانگی هوشمند، ربات و هر چیز دیگر که فکرش را بکنید. بیشتر بسته‌های محبوب در هفته میلیون‌ها دانلود می‌شوند و اساس بسیاری از اپ‌ها هستند- از پروژه‌های حیوانات خانگی گرفته تا استارت‌آ‌پ‌های فناوری محبوب.

تحقیقات و ارزیابی‌ها اینطور نشان می‌دهد که 97 درصد کدهای در اپ‌های وبی مدرن از ماژول‌های npm می‌آیند. با این حال محبوبیتشان و نیز باز بودن در آپلود هر بسته، ناگزیر آن‌ها را به چشم مجرمان سایبری جذاب می‌کند. برای مثال در سال 2021 مهاجمینی ناشناس چندین نسخه از آرشیو محبوب جاوااسکریپت را به نام  UAParser.js با تزریق کد مخرب، دستکاری کردند. این آرشیو هر هفته بین 6 تا 8 میلیون دانلود می‌شد. مجرمان سایبری با آلوده کردن آن توانستند ارز دیجیتال ماین کنند و اطلاعات محرمانه‌ای را مانند کوکی‌های مرورگر، پسوردها و اطلاعات سیستم عامل از دستگاه‌های آلوده سرقت کنند. بگذارید مثال دیگری بزنیم: در تاریخ 26 جولای 2022 محققین ما تهدید جدیدی را کشف کردند که در مخزن منبع باز  npm به نام LofyLife رخ داده بود. با ما همراه شوید تا ضمن بررسی این تهدید، راهکارهای امنیتی نیز خدمتتان ارائه دهیم.

LofyLife چیست؟

محققین ما موقع استفاده از سیستم اتومات داخلی برای نظارت مخزن‌های منبع باز کمپین مخرب  LofyLife را شناسایی کردند. در این کمپین چهار بسته مخرب به کار گرفته شده که برای جمع‌آوری اطلاعات مختلف از قربانیان از جمله توکن‌های دیسکورد، اطلاعات کارت اعتباری مربوط به آن‌ها و جاسوسی روی آن‌ها به مرور زمان بدافزار Volt Stealer و Lofy Stealer را در مخزن npm توزیع کردند. بسته‌های مخرب شناسایی‌شده ظاهراً برای تسک‌های معمولی چون فرمت کردن هدلاین‌ها یا یک سری قابلیت‌های گیمینگ مورد استفاده قرار گرفته‌اند. شرح جزئیات بسته‌ها ناقص است و به طور کلی به نظر می‌رسد که مهاجمین خیلی روی آن‌ها وقت نگذاشته‌اند. با این حال بسته‌ای که کارش فرمت هدلاین‌هاست به زبان برزیلی پرتغالی بود و هشتگ #برزیل را داشت و همین اشاره می‌کند به اینکه هدف مهاجمین کاربران برزیلی است. سایر بسته‌ها هم به زبان انگلیسی ارائه شدند پس آن‌ها می‌توانند برای هدف قرار دادن کشورهای مختلف دیگر باشند.

با این حال این بسته‌ها حاوی کد مخرب به شدت مبهم‌سازی‌شده‌ی JavaScript و Python هستند و همین باعث شده تا تحلیل زمان آپلود شدن آن‌ها در مخزن سخت‌ترشود. پی‌لود مخرب شامل بدافزاری می‌شد نوشته‌شده به زبان Python و با نام Volt Stealer- اسکریپت مخرب منبع باز و نیز بدافزار جاوا اسکریپت به نام  Lofy Stealer که قابلیت‌های مختلفی دارد. Volt Stealer به منظور سرقت توکن‌های دیسکورد از ماشین‌های آلوده به همراه ادرس آی‌پی قربانی استفاده و بعد هم از طریق  HTTP آپلود می‌شدند.

Lofy Stealer توسعه‌ی جدیدی از سوی مهاجمین است که می‌تواند فایل‌های کلاینت دیسکورد را آلوده ساخته اقدامات قربانی را رصد کنند- از جمله شناسایی زمانی که کاربر لاگین می‌شود، ایمیل یا پسورد ثبت‌شده‌اش را تغییر می‌دهد، احراز هویت دوعاملی یا چندعاملی را فعال یا غیرفعال می‌کند یا متودهای پرداختی جدیدی را اضافه می‌کند (که در این سناریو کل جزئیات کارت اعتباری سرقت می‌شود). کار آن در واقع آپلود کردن اطلاعات جمع‌آوری‌شده به اندپوینت ریموت است.

راهکارهای امنیتی

 مخازن منبع باز به هر کسی اجازه می‌دهند تا بسته‌های خود را نشر دهند و همه‌ی این بسته‌ها البته که نمی‌توانند امن باشند. برای مثال مهاجمین می‌توانند با تغییر یک یا دو حرف در نام خود را جای بسته‌های محبوب npm بزنند و کاربر را فریب دهند تا فکر کند دارد واقعاً یک بسته واقعی را دانلود می‌کند. از این رو توصیه ما به شما این است که همیشه گارد داشته باشید و به هیچ بسته‌ای اعتماد نکنید (مگر خلافش ثابت شود). به طور کلی توسعه یا ساخت محیط برای مهاجمینی که سعی دارند حملات زنجیره تأمین به راه بیاندازند هدف‌های چرب و نرمی هستند. این بدان معناست که چنین محیط‌هایی شدیداً به ابزار محافظتی قوی ضد بدافزاری مانند Kaspersky Hybrid Cloud Security دارند. محصولات ما با موفقیت حمله LofyLife را با حکم HEUR:Trojan.Script.Lofy.gen و  Trojan.Python.Lofy.a. شناسایی می‌کنند. 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد