2023 első felében a Checkmarx kutatói több, a bankszektort célzó, nyílt forráskódú szoftverek ellátási láncát (Open Source Software Supply Chain Attacks) érintő támadást észleltek, amelyek során a támadók a bankok által használt webes eszközök bizonyos komponenseit célozták meg.
A Checkmarx arra hívja fel a figyelmet, hogy április 5-én és 7-én egy fenyegetési aktor az NPM platformot kihasználva feltöltött néhány olyan csomagot, amelyek rosszindulatú szkriptet tartalmaztak, amely a csomag telepítésekor futott le.
A támadás főbb lépései
A támadók hamis LinkedIn profilokat hoztak létre, hogy kapcsolatba lépjenek a célzott intézmények alkalmazottaival. Az említett csomagokat egy többlépcsős támadási lánc aktiválásához használták. Az első lépésben a szkript meghatározta a host operációs rendszerét és az Azure CDN aldomainjének felhasználásával letöltötte a második lépcsős rosszindulatú programot egy távoli szerverről, amely tartalmazta a megtámadott bank nevét. Az aldomain használata lehetővé tette a támadók számára, hogy elkerüljék az észlelést és megkerüljék a hagyományos tiltólistás módszereket.
A második lépcsős payload a Havoc Framework, amely olyan post-exploit hackereszköz, mint a Cobalt Strike, a Sliver és a Brute Ratel.
Az érintett NPM csomagok nevét nem hozták nyilvánosságra, azonban azok eltávolításra kerültek az NPM-ről.