Codice malevolo distribuito tramite pacchetti NPM (AL01/220223/CSIRT-ITA)

Feb 23, 2022 | Articoli, Uncategorized

Descrizione

In analogia a quanto recentemente accaduto con la compromissione delle librerie “UAParser” – trattata da questo CSIRT tramite il bollettino BL01/211027/CSIRT-ITA – “noblox” (noblox.js e noblox.js-proxied) e “coa”, tra ottobre e novembre 2021, è stata recentemente rilevata la distribuzione di 25 librerie JavaScript malevole tramite pacchetti NPM opportunamente predisposti.

Utilizzando la tecnica denominata “typosquatting”, alcuni attori malevoli hanno reso disponibili repository NPM, apparentemente legittimi, al fine di collezionare informazioni sensibili e distribuire codice malevolo sui sistemi compromessi.

Di seguito la lista dei pacchetti rilevati:

  • node-colors-sync (Discord token stealer)
  • color-self (Discord token stealer)
  • color-self-2 (Discord token stealer)
  • wafer-text (Environment variable stealer)
  • wafer-countdown (Environment variable stealer)
  • wafer-template (Environment variable stealer)
  • wafer-darla (Environment variable stealer)
  • lemaaa (Discord token stealer)
  • adv-discord-utility (Discord token stealer)
  • tools-for-discord (Discord token stealer)
  • mynewpkg (Environment variable stealer)
  • purple-bitch (Discord token stealer)
  • purple-bitchs (Discord token stealer)
  • noblox.js-addons (Discord token stealer)
  • kakakaakaaa11aa (Connectback shell)
  • markedjs (Python remote code injector)
  • crypto-standarts (Python remote code injector)
  • discord-selfbot-tools (Discord token stealer)
  • discord.js-aployscript-v11 (Discord token stealer)
  • discord.js-selfbot-aployscript (Discord token stealer)
  • discord.js-selfbot-aployed (Discord token stealer)
  • discord.js-discord-selfbot-v4 (Discord token stealer)
  • colors-beta (Discord token stealer)
  • vera.js (Discord token stealer)
  • discord-protection (Discord token stealer)

Nel dettaglio, gran parte dei pacchetti malevoli sono orientati al furto di token Discord – nota piattaforma di messaggistica istantanea – al fine diffondere collegamenti verso risorse malevole tramite account/canali legittimi o collezionare informazioni sensibili, quali numeri di carte di credito.

I restanti pacchetti prevedono la distribuzione di codice Python malevolo, backdoor, reverse shell ed infostealer.

Azioni di mitigazione

Per eventuali ulteriori approfondimenti si rimanda alla recente pubblicazione di questo CSIRT; si consiglia altresì di consultare l’analisi e le ulteriori risorse – relative alla medesima tematica – disponibili nella sezione Riferimenti.

Riferimenti

https://thehackernews.com/2022/02/25-malicious-javascript-libraries.html?m=1

https://csirt.gov.it/contenuti/rilevata-compromissione-della-libreria-uaparser-js-bl01-211027-csirt-ita

https://news.sophos.com/en-us/2021/10/24/node-poisoning-hijacked-package-delivers-coin-miner-and-credential-stealing-backdoor/

https://blog.sonatype.com/fake-npm-roblox-api-package-installs-ransomware-spooky-surprise

https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/

Fonte: https://www.csirt.gov.it/