الضارة أثناء تثبيت برنامج (NPM) تم اكتشاف مكتبات إن بي إم سرقة كلمات المرور وبرامج الفدية

28 أكتوبر 2021 553 views

قام الفاعلون الخبثاء مرة أخرى بنشر مكتبتين أخريين مطبعي إلى مستودع إن بي إم (NPM) الرسمي الذي يحاكي حزمة شرعية من روبلوكس (Roblox)، شركة الألعاب، بهدف توزيع بيانات الاعتماد المسروقة، وتثبيت أحصنة طروادة الوصول عن بُعد، وإصابة الأنظمة المخترقة ببرمجيات الفدية.

تم العثور على الحزم المزيفة – المسماة “noblox.js-proxy” و “noblox.js-proxies” – لانتحال شخصية مكتبة تسمى “noblox.js” ، وهي عبارة عن غلاف لواجهة برمجة تطبيقات لعبة روبلوكس متاح على إن بي إم (NPM) ويضم ما يقرب من 20000 تنزيل أسبوعيًا، مع كل من المكتبات المسمومة، تم تنزيل ما مجموعه 281 و 106 مرة على التوالي.

ووفقًا للباحث في سوناتايب (Sonatype)، خوان أغويري (Juan Aguirre)، الذي اكتشف حزم إن بي إم (NPM) الخبيثة، نشر مؤلف noblox.js-proxy لأول مرة نسخة حميدة تم العبث بها لاحقًا بالنص المبهم، في الواقع، نص دفعة (bat) في المنشور -تثبيت ملف جافا إسكريبت (JavaScript).

يقوم نص الدُفعات هذا بدوره بتنزيل الملفات التنفيذية الضارة من شبكة ديسكوردس ديلفري (Discord’s Content Delivery Network (CDN)) المسؤولة عن تعطيل محركات مكافحة البرامج الضارة، وتحقيق الثبات على المضيف، وسحب بيانات اعتماد المتصفح، وحتى نشر الثنائيات مع إمكانات برامج الفدية.

كشفت الأبحاث الحديثة من (Check Point Research) و (RiskIQ) المملوكة لشركة مايكروسوفت كيف أن الجهات الفاعلة في التهديد تسيء بشكل متزايد إلى (Discord CDN)، وهي منصة تضم 150 مليون مستخدم، لتقديم 27 مجموعة فريدة من البرامج الضارة باستمرار، بدءًا من الأبواب الخلفية وسرقة كلمات المرور إلى برامج التجسس وأحصنة طروادة.

على الرغم من أنه تم حذف كل من مكتبات إن بي إم (NPM) الخبيثة منذ ذلك الحين ولم تعد متاحة، إلا أن النتائج تعد مؤشرًا آخر على كيفية ظهور سجلات الرموز الشائعة مثل إن بي إم (NPM) وباي بي آي (PyPI) وروبيجمس (RubyGems) كحدود مربحة لتنفيذ مجموعة متنوعة من الهجمات.

يعكس الكشف أيضًا هجومًا حديثًا لسلسلة التوريد يستهدف “UAParser.js” ، مكتبة إن بي إم جافا إسكريبت (JavaScript NPM) شهيرة مع أكثر من 6 ملايين تنزيل أسبوعيًا، مما أدى إلى اختطاف حساب المطور لإفساد الحزمة باستخدام التنقيب عن العملات المشفرة والبرامج الضارة لسرقة بيانات الاعتماد. بعد أيام من شطب ثلاث حزم أخرى لتعدين العملات المشفرة من السجل.

المصدر:  (thehackernews.com)

منشور له صلة

اترك رد







Twitter-تويتر



Facebook-الفيسبوك






Instagram-الانستقرام


Youtube-يوتيوب