Вредоносный код проникает в ключевые пакеты в репо...

Злоумышленники внедрили информационную программу в пакеты 36 npm, связанные с экосистемой Arweave. Он был нацелен на учетные данные разработчика, ключи SSH и файлы криптокошелька Exodus. Охранная фирма JFrog отследила атаку до скомпрометированной учетной записи сопровождающего.

Вредоносное ПО называется IronWorm и создано с использованием Rust. Он активируется в тот момент, когда разработчик устанавливает пакет npm. Как обнаружила исследовательская группа JFrog, после запуска он сканирует зараженный компьютер на наличие 86 переменных среды и 20 файлов учетных данных. Он используется для токенов AWS, ключей API Anthropic и OpenAI, учетных данных аутентификации npm и данных криптокошелька.

Пакеты проектов Arweave содержат скрытое вредоносное ПО Rust

Злоумышленники скомпрометировали учетную запись npm под названием «asteroiddao», принадлежащую группе asteroid-dao GitHub, которая является частью проекта децентрализованной базы данных Arweave/WeaveDB.

Все пакеты, связанные с учетной записью «asteroiddao», были переизданы в течение короткого времени, причем каждая новая версия содержала файл Linux размером 976 КБ, расположенный в каталоге Tools/.

Файл был настроен на автоматический запуск через перехватчик предварительной установки в package.json, то есть он запускался еще до того, как npm начал что-либо устанавливать. Все, что нужно было сделать жертве, — это запустить npm install.

Команда JFrog разобрала файл на части и обнаружила, что он был упакован таким образом, чтобы обмануть стандартные инструменты распаковки. Внутри находилась большая программа на Rust, которая хранила свои строки в зашифрованном виде, причем каждая из них блокировалась отдельно, что значительно усложняло анализ.

Когда эти строки были наконец декодированы, они выявили конечные точки API GitHub, пути к файлам учетных данных, поддельные учетные записи ботов, связанные с реальными идентификаторами пользователей GitHub, и шаблоны для внедрения вредоносного кода в другие реестры пакетов.

Снимок экрана, показывающий зараженные пакеты npm, относящиеся к экосистеме Arweave. Источник: Jfrog.

Украденные токены GitHub позволяют вредоносному ПО отправлять коммиты и заражать больше репозиториев

Собрав учетные данные, IronWorm использовал их для отправки коммитов в репозитории, к которым могла получить доступ жертва. Эти коммиты помещали тот же вредоносный двоичный файл в другие пакеты, которые затем можно было опубликовать в npm и поставить под угрозу следующего разработчика в цепочке.

JFrog обнаружил 57 вредоносных коммитов, датированных задним числом, в девяти организациях GitHub. В коммитах использовалось имя автора «claude» и адрес электронной почты claude@users.noreply.github.com. Временные метки были подделаны, чтобы соответствовать последнему законному коммиту каждого репозитория. Судя по всему, один из них был создан 13 лет назад, хотя журналы действий GitHub подтвердили, что все push-уведомления произошли в течение нескольких дней после обнаружения.

В число затронутых организаций вошли asteroid-dao, weavedb, ArweaveOasis и несколько личных аккаунтов, связанных с разработчиком ocrybit.

IronWorm также развернул руткит ядра eBPF, чтобы скрываться на зараженных машинах. Связь с его оператором маршрутизируется через сеть Tor. Компилятор Rust оставил исходный код руткита в двоичном виде — операционная ошибка, упрощающая анализ.

Одна странность заключается в том, что оператор жестко запрограммировал во вредоносное ПО свою собственную фразу восстановления криптовалютного кошелька. JFrog пришел к выводу, что это была мера предосторожности, предотвращающая кражу учетных данных злоумышленника во время тестирования.

Вредоносные атаки продолжают поражать npm

Компания Ox Security, занимающаяся безопасностью приложений, заявила, что атака была обнаружена на ранней стадии, прежде чем она успела распространиться на другие пакеты в npm.

Вредоносные версии были помечены как устаревшие в течение дня, а вскоре после этого большая часть коммитов, сделанных задним числом, была удалена из GitHub.

14 мая хакеры воспользовались неактивной учетной записью сопровождающего пакета Node-IPC, который еженедельно загружают более 822 000 раз. Эксплойт был реализован путем перерегистрации домена электронной почты с истекшим сроком действия сопровождающего и сброса пароля npm. Три скомпрометированных варианта содержали полезные данные для кражи учетных данных, нацеленные на более чем 90 категорий секретов разработчиков.

Охранные компании Endor Labs и StepSecurity выявили одновременную, но отдельную атаку с использованием вредоносного ПО на основе JavaScript под названием Biding.gyp, которое выполнило аналогичное отравление реестра и заражение GitHub Actions в течение того же периода времени.

Разработчикам, которые установили любой из затронутых пакетов WeaveDB, следует заменить все учетные данные, проверить файлы блокировки на предмет непредвиденных изменений версий и включить двухфакторную аутентификацию в учетных записях npm и GitHub.