TTL OSINT

18.07.2024 204 2 мин.

Атаки на цепочки поставок с открытым исходным кодом: Тематические исследования вредоносных пакетов NuGet и npm

Атаки на цепочки поставок с открытым исходным кодом, в которых используются вредоносные пакеты, спрятанные в репозиториях с открытым исходным кодом, стали серьезной проблемой в области кибербезопасности. Эти атаки нацелены на огромное количество ИТ-сред, использующих эти репозитории. В статье приводятся примеры таких атак, анализируются показатели компрометации (IoC) и используемые тактики, методы и процедуры (TTP). Одна из таких атак была нацелена на технологию BOZHONG Precision Industry Technology с использованием пакета SqzrFramework480.dll в репозитории NuGet. Этот пакет, который был загружен примерно 3000 раз, обладает возможностями, указывающими на промышленный шпионаж. Другой случай связан с устаревшим пакетом react-aws-s3-typescript в репозитории npm, который оставался недоступным в течение нескольких месяцев, прежде чем был загружен вредоносный файл. В этом пакете для открытия сокета и выполнения команд используется постинсталляционный скрипт, демонстрирующий потенциальную возможность вредоносного поведения в установочных сценариях. Также обсуждается тактика тайпосквоттинга, когда злоумышленники создают вводящие в заблуждение имена, которые очень похожи на законные URL-адреса или названия пакетов. Было обнаружено, что IP-адрес 91[.]238[.]181[.]250 использовался в ходе устаревшей атаки react-aws-s3-typescript и классифицируется как критический с вероятностью 99%. Сервер Nginx, расположенный по этому IP-адресу, имеет уязвимость CVE-2021-23017, которая создает риск удаленных атак типа "Отказ в обслуживании" (DoS). Для устранения этой серьезной угрозы требуется постоянный мониторинг и принятие соответствующих мер. Основные типы атак, которые наблюдаются в таких случаях, включают использование вводящих в заблуждение имен и использование уязвимостей в сценариях установки. Методы и этапы атаки MITRE включают первоначальный доступ, выполнение и сохранение. Экосистема с открытым исходным кодом, способствуя технологическому прогрессу, представляет значительные риски для кибербезопасности, и постоянный мониторинг потенциальных угроз имеет решающее значение.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: href="https://blog.criminalip.io/2024/07/15/open-source-supply-chain-attacks/">https://blog.criminalip.io/2024/07/15/open-source-supply-chain-attacks/

Примеры признаков компромисса:

• 91.238.181.250
• xaracc556.com
• endhip.agency
• chromeupdatingmac.com

Источник: TTL OSINT