Niebezpiecznik NewsPoważny atak programistów. Popularna biblioteka axios była zainfekowana.
Oprogramowanie na twoim komputerze korzysta z Node’a? I masz w paczkę axiosa jako zależność? Rzuć wszystko i sprawdź z jakiej wersji korzystasz. Ktoś wstrzyknął do tej biblioteki złośliwy kod. Jeśli ją pobrałeś, Twój sprzęt i klucze chmurowe są w rękach przestępców.
Co się stało?
Właśnie odkryto kolejny poważny atak na łańcuch dostaw. Tym razem oberwała popularna biblioteka programistyczna axios powszechnie wykorzystywana do generowania żądań (pobierana ok. 100 milionów razy tygodniowo!). Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios (jasonsaayman) i opublikowali dwie złośliwe wersje, omijając pipeline CI/CD oparty o GitHub Actions i OIDC (Trusted Publisher). Skorzystali po prostu z ręcznej publikacji z pomocą wykradzionego developerowi długoterminowego tokenu dostępu:
1.14.1 (31 marca o 00:21 UTC, tag latest)
0.30.4 (31 marca 01:00 UTCtag legacy)
Zachowanie wstrzykniętego złośliwego kodu różni się między systemami:
Windows: Nadpisuje i chowa się pod fałszywym plikiem Windows Terminal (%PROGRAMDATA%\wt.exe), po czym odpala złośliwego PowerShella. (np. %TEMP%\6202033.ps1, %TEMP%\6202033.vbs)
macOS: Udaje demona systemowego, zrzucając plik do rzadko sprawdzanego katalogu /Library/Caches/com.apple.act.mond (plus pliki pod $TMPDIR/6202033).
Linux: Instaluje pythonowego backdoora w /tmp/ld.py.
Malware łączy się z C2 pod adresem sfrclak[.]com:8000 i wysyła dane o Twoim środowisku, nasłuchuje poleceń oraz zaciera za sobą ślady usuwając pliki instalacyjne. Daje też atakującemu możliwość zdalnego wykonania kodu (RCE).
IoC:
IP Serwerów C2: 142.11.206[.]73
Domena kampanii C2 i URL: http://sfrclak[.]com:8000/6202033 oraz sfrclak[.]com (do odrzucenia na poziomie /etc/hosts / iptables)
Złośliwe [...]
13
sekurak News
Michal Bogusz
MOTORADIO
