A Checkmarx Zero kutatója, Ariel Harush, egy összetett és kifinomult rosszindulatú csomagkampányt tárt fel, amely a Python és az NPM felhasználókat célozza meg Windows és Linux platformokon egyaránt. A támadást a népszerű csomagok nevének elírásával (typo-squatting) hajtják végre, így becsapva a felhasználókat. A felfedezett supply chain támadás kereszt-platformos tulajdonságokkal rendelkezik és fejlett elkerülési technikákat alkalmaz, melyek a szakemberek szerint az open-source fenyegetések fejlődését jelenthetik.
A támadás célzottan a Colorama nevű, széles körben használt Python csomagot célozza meg, amely a terminál kimenetének színezésére szolgál a PyPI-n, valamint a hasonló JavaScript csomagot, a colorizr-t az NPM-en. A kutatók több rosszindulatú csomagot azonosítottak a PyPI-n, amelyek nevei úgy voltak kialakítva, hogy megtévesszék a fejlesztőket és véletlen telepítést eredményezzenek a tipográfiai hibák révén. A támadás legszokatlanabb jellemzője, hogy az NPM platform névadási konvencióit alkalmazza a PyPI felhasználók megtámadására, ami lehet szándékos megtévesztés, vagy egy célzott jövőbeli NPM támadás előkészítése. A rosszindulatú csomagokat stratégiailag úgy nevezték el, hogy kihasználják a gyakori elgépelési hibákat és a fejlesztők csomagnevekkel kapcsolatos feltételezéseit. Ez a kereszt-platformos csalitechnika, jelentős fejlődést jelent a supply chain támadás módszertanában, mivel a támadók hagyományosan egyetlen platformra összpontosítanak.
A felfedezett payload-ok kifinomult képességeket mutatnak mind Windows, mind Linux környezetekben, közös jellemzőik közé tartozik az érzékeny adatok kiszivárogtatása, távoli hozzáférés létrehozása és átfogó perzisztencia mechanizmusok.
Windows célzott változatok
A GitHub fiókhoz, a github[.]com/s7bhme-hez kapcsolódó Windows célzott változatok a Windows rendszerleíró adatbázisából történő környezeti változók gyűjtésével próbálják feltárni az esetleges hitelesítő adatokat és konfigurációs titkokat. A payload-ok perzisztenciát hoznak létre a Feladatütemező bejegyzésein keresztül, amelyek különböző fájlútvonalakra mutatnak. Ezek a jellemzők moduláris telepítési architektúrákat sugallnak, amelyek hosszú távú kompromittálásra vannak tervezve. A Windows payload-ok fejlett vírusirtó elkerülési képességeket mutatnak, aktívan ellenőrzik a telepített biztonsági szoftvereket, és ennek megfelelően módosítják a viselkedésüket. A kutatók felfedeztek specifikus észlelés elleni parancsokat is, például a “C:\Program Files\Windows Defender\MpCmdRun[.]exe” -RemoveDefinitions -All parancsot a rosszindulatú definíciók eltávolítására és PowerShell parancsokat, amelyek letiltják a letöltött fájlok bemeneti/kimeneti vírusirtó szkennelését.
Linux célzott csomagok
A Colorizator és coloraiz nevű Linux csomagok base64-kódolt payload-okat tartalmaznak a src/colorizator/init[.]py fájlokban, amelyek kifinomult fertőzési láncokat indítanak el. A támadási szekvencia egy RSA kulcs telepítését tartalmazza a /tmp/pub[.]pem helyre, távoli bash script letöltéseket a gsocket[.]io/y címről a gs-netcat telepítéséhez és titkosított kimeneti kiszivárogtatást a Pastebin-re érvényes fejlesztői kulcsok használatával. A letöltött bash script átfogó backdoor funkciókat is biztosít, beleértve a systemd perzisztenciát, shell profil injection-kat, crontab módosításokat és webhook értesítéseket a Discord, Telegram és egyéni URL-ek számára.
Az elsődleges vizsgálat egységes támadók részvételét előlegezte meg a névadási hasonlóságok és a feltöltési időpont mintázatai alapján, azonban a mélyebb elemzés különbségeket tárt fel az eszközökben, taktikákban és infrastruktúrában, amelyek megnehezítik a nyomozást. A kutatók nem tudják egyértelműen összekapcsolni a Windows és Linux payload készletet egyetlen forrással, ami arra következtet, hogy külön kampányok folynak, melyek hasonló elírásos taktikákat használnak ki.