Εξαιρετικά πολύπλοκη επίθεση Supply Chain κλέβει διαπιστευτήρια μέσω μολυσμένου λογισμικού Open Source

Μια νέα, εξαιρετικά σύνθετη επίθεση supply chain που δρα εδώ και ένα χρόνο έχει εντοπιστεί από ερευνητές ασφαλείας. Οι επιτιθέμενοι χρησιμοποιούν κακόβουλες τροποποιήσεις σε ανοιχτό κώδικα λογισμικό από GitHub και NPM, στοχεύοντας τόσο σε κακόβουλους όσο και σε καλοπροαίρετους ερευνητές ασφαλείας για να κλέψουν ευαίσθητα διαπιστευτήρια.

Η εκστρατεία, που αναφέρθηκε πρώτα από την Checkmarx και πρόσφατα από τα Datadog Security Labs, περιλαμβάνει πολλαπλές μεθόδους επίθεσης. Οι επιτιθέμενοι χρησιμοποιούν πακέτα που ήταν διαθέσιμα για περισσότερο από ένα χρόνο και περιέχουν καλοσχεδιασμένα backdoors, ενώ παράλληλα χρησιμοποιούν στοχευμένο spear phishing για να εξαπατήσουν χιλιάδες ερευνητές που δημοσιεύουν στο arXiv.

Η εκστρατεία αποδίδεται σε μια ομάδα που οι ερευνητές της Datadog αποκαλούν MUT-1244 (Mysterious Unattributed Threat). Ένα από τα κύρια εργαλεία της ομάδας είναι το πακέτο @0xengine/xmlrpc, το οποίο ξεκίνησε ως ένα αθώο εργαλείο για το πρωτόκολλο XML-RPC αλλά εξελίχθηκε σε κακόβουλο λογισμικό μέσω 16 στρατηγικών ενημερώσεων σε διάστημα ενός έτους.

Το @0xengine/xmlrpc επιτυγχάνει μόνιμη παραμονή στις συσκευές και κάθε 12 ώρες συλλέγει δεδομένα, όπως:

• Κλειδιά SSH και ρυθμίσεις.
• Ιστορικό εντολών.
• Περιβάλλοντα συστήματος και διευθύνσεις IP.
• Διαπιστευτήρια από WordPress και άλλες πλατφόρμες.

Τα δεδομένα μεταφορτώνονται σε λογαριασμούς στο Dropbox ή σε άλλες υπηρεσίες cloud, ενώ το κακόβουλο λογισμικό εγκαθιστά επίσης λογισμικό εξόρυξης κρυπτονομισμάτων.

Εκτός από τα Trojanized πακέτα, οι επιτιθέμενοι χρησιμοποιούν τουλάχιστον 49 κακόβουλα proof-of-concept exploits και spear phishing emails. Τα emails στοχεύουν ερευνητές, πείθοντάς τους να εγκαταστήσουν υποτιθέμενες ενημερώσεις microcode για βελτίωση της απόδοσης. Επιπλέον, τα κακόβουλα πακέτα ενσωματώνονται σε νόμιμες πηγές όπως το Feedly Threat Intelligence, ενισχύοντας την αξιοπιστία τους.

Παρά την πολυπλοκότητα της εκστρατείας, τα κίνητρα της ομάδας παραμένουν ασαφή. Ενώ η εξόρυξη κρυπτονομισμάτων φαίνεται να αποτελεί στόχο, η στόχευση ερευνητών ασφαλείας δεν ταιριάζει με τις τυπικές πρακτικές τέτοιων επιθέσεων. Παράλληλα, η συλλογή διαπιστευτηρίων WordPress υποδηλώνει πιθανές επιθέσεις σε ιστότοπους.

Η εκστρατεία της MUT-1244 καταδεικνύει τον κίνδυνο που ενέχει η ανοιχτή φύση του λογισμικού. Οι χρήστες πρέπει να είναι εξαιρετικά προσεκτικοί με τα πακέτα που χρησιμοποιούν, ειδικά αν προέρχονται από μη επαληθευμένες πηγές. Οι ερευνητές προτείνουν εργαλεία για την ανίχνευση της παρουσίας του MUT-1244 και την απομάκρυνση του κακόβουλου λογισμικού.

Η ασφάλεια στον ανοιχτό κώδικα παραμένει κρίσιμη, και η εκστρατεία αυτή υπενθυμίζει τη σημασία της αυστηρής επαλήθευσης και της συνεργασίας για την προστασία της κοινότητας από τέτοιες επιθέσεις.