WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Phát hiện bốn gói npm đăng thông tin người dùng trên GitHub
Thông tin được đăng tải bao gồm địa chỉ IP, quốc gia, thành phố, tên người dùng máy tính, đường dẫn thư mục chính và model máy tính.
Bốn gói npm JavaScript chứa mã độc hại có chức năng thu thập thông tin chi tiết của người dùng và tải thông tin lên trang GitHub. npm (node package manager) là một công cụ tạo và quản lý các thư viện lập trình Javascript cho dự án mã nguồn mở Node.js. Nó cũng là một công cụ dòng lệnh rất quan trọng đối với các nhà phát triển dự án trên toàn cầu.
Bốn gói được xác định là:
Các gói còn lại, electorn và loadyaml, đã bị gỡ bỏ vào ngày 1/10 bởi nhóm bảo mật npm sau khi nhận được báo cáo từ hãng bảo mật Sonatype.
Theo nhà nghiên cứu Ax Sharma của Sonatype, bốn gói phần mềm độc hại này đã sử dụng kỹ thuật typosquatting (nhằm chiếm quyền điều khiển hoặc làm giả URL) để cài đặt.
Cả bốn gói đều dựa vào lỗi đánh máy của người dùng khi nhập tên các gói phổ biến, từ đó chúng có cơ hội xâm nhập vào mã gốc (codebase) của nạn nhân.
Khi nhà phát triển cài đặt nhầm một trong bốn gói phần mềm độc hại trên, mã độc bên trong các gói sẽ thu thập địa chỉ IP, quốc gia, thành phố, tên người dùng máy tính, đường dẫn thư mục chính, model máy tính của nhà phát triển và đăng thông tin này dưới dạng bình luận mới trong phần "Issues" của kho lưu trữ GitHub.
Sharma cho biết dữ liệu sẽ không tồn tại lâu trên GitHub và sẽ bị xóa sau 24 giờ - điều này cho thấy rất có thể dữ liệu đã được thu thập và lập chỉ mục bên trong một cơ sở dữ liệu khác.
Các nhà nghiên cứu vẫn chưa xác định được mục tiêu cuối cùng của chiến dịch này, nhưng rất có thể đây là một hoạt động do thám.
Các thông tin như địa chỉ IP, tên người dùng và đường dẫn thư mục chính có thể tiết lộ người dùng đang làm việc tại nhà hoặc tại công ty. Dữ liệu như đường dẫn thư mục chính và model máy tính có thể giúp kẻ tấn công triển khai phần mềm độc hại được tinh chỉnh cho một kiến trúc cụ thể.
Các nhà phát triển được khuyến cáo cần kiểm tra xem dự án của mình có vô tình sử dụng phải một trong bốn gói mã độc trên không.
Bốn gói được xác định là:
- electorn: 255 lượt tải xuống
- lodashs: 78 lượt tải xuống
- loadyaml: 48 lượt tải xuống
- loadyml: 37 lượt tải xuống
Các gói còn lại, electorn và loadyaml, đã bị gỡ bỏ vào ngày 1/10 bởi nhóm bảo mật npm sau khi nhận được báo cáo từ hãng bảo mật Sonatype.
Theo nhà nghiên cứu Ax Sharma của Sonatype, bốn gói phần mềm độc hại này đã sử dụng kỹ thuật typosquatting (nhằm chiếm quyền điều khiển hoặc làm giả URL) để cài đặt.
Cả bốn gói đều dựa vào lỗi đánh máy của người dùng khi nhập tên các gói phổ biến, từ đó chúng có cơ hội xâm nhập vào mã gốc (codebase) của nạn nhân.
Khi nhà phát triển cài đặt nhầm một trong bốn gói phần mềm độc hại trên, mã độc bên trong các gói sẽ thu thập địa chỉ IP, quốc gia, thành phố, tên người dùng máy tính, đường dẫn thư mục chính, model máy tính của nhà phát triển và đăng thông tin này dưới dạng bình luận mới trong phần "Issues" của kho lưu trữ GitHub.
Sharma cho biết dữ liệu sẽ không tồn tại lâu trên GitHub và sẽ bị xóa sau 24 giờ - điều này cho thấy rất có thể dữ liệu đã được thu thập và lập chỉ mục bên trong một cơ sở dữ liệu khác.
Các nhà nghiên cứu vẫn chưa xác định được mục tiêu cuối cùng của chiến dịch này, nhưng rất có thể đây là một hoạt động do thám.
Các thông tin như địa chỉ IP, tên người dùng và đường dẫn thư mục chính có thể tiết lộ người dùng đang làm việc tại nhà hoặc tại công ty. Dữ liệu như đường dẫn thư mục chính và model máy tính có thể giúp kẻ tấn công triển khai phần mềm độc hại được tinh chỉnh cho một kiến trúc cụ thể.
Các nhà phát triển được khuyến cáo cần kiểm tra xem dự án của mình có vô tình sử dụng phải một trong bốn gói mã độc trên không.
Theo Zdnet