Borítókép forrása: Wikipédia/saját szerkesztés
A Phylum kutatói 2023. július 31-én tíz különböző “tesztcsomag” közzétételét figyelték meg az NPM csomagkezelőben, amelyeket érzékeny fejlesztői forráskódok és bizalmas információk kiszivárogtatására fejlesztettek ki. Mindegyik csomagot ugyanaz az a felhasználó, malikrukd4732 tette közzé, és három fájlt tartalmazott.
A modulok JavaScriptet indítanak (“index.js“), amely az információk távoli szerverre történő feltöltéséhez szükséges kódot tartalmazza.
“Az index.js kódot a preinstall.js fájl indítja el. Ezt a műveletet a package.json fájlban definiált postinstall hook indítja el, amely a csomag telepítésekor kerül végrehajtásra.” ─ olvasható a Phylum által közzétett jelentésben.
Az index.js meghatározott kiterjesztésű fájlokat keres, majd létrehoz egy ZIP archívumot ezekből a fájlokból és könyvtárakból, végül pedig megpróbálja feltölteni azokat a 185[.]62[.]57[.]60-as IP című FTP szerverre ”root” felhasználónévvel és a ”TestX@!#33” jelszóval.
“Úgy tűnik, hogy ez egy újabb, a kriptovaluta szférában tevékenykedő fejlesztők ellen irányuló, erősen célzott támadás. Egyelőre bizonytalanok vagyunk abban, hogy a @rocketrefer mire vonatkozik, de potenciálisan a CryptoRockethez kapcsolódhat.” ─ áll a jelentésben.
Nem ritka, hogy rosszindulatú csomagokat fedeznek fel az NPM-en, májusban a ReversingLabs két ilyen példányt is talált, amelyről egy korábbi cikkünkben is olvashat.
