Blog

Yangi zararli dasturiy ta’minot kampaniyasi virusli npm paketlari orqali Discord tokenlari va kredit karta ma’lumotlarini qidirmoqda.

IT sanoati uchun ochiq manba inkor etib bo’lmaydigan foyda: u dasturchilarga takroriy kod yozishga vaqt sarflamasdan, mahsulotlarni tezroq va samaraliroq yaratishga yordam beradi. Ishlab chiquvchilarga kod almashishni osonlashtirish uchun turli xil omborlar mavjud – boshqalar uchun ishlab chiqish jarayonini osonlashtirish uchun har kim o’z paketlarini nashr etishi mumkin bo’lgan ochiq platformalar.

Bunday omborlar deyarli har qanday zamonaviy dasturiy ta’minotni ishlab chiqishda keng qo’llaniladi: veb-ilovalar, mobil ilovalar, aqlli qurilmalar, robotlar va boshqalar. Eng ommabop paketlar har hafta millionlab dasturchilar tomonidan yuklab olinadi va ko‘plab ishlanmalarga asos bo‘ladi – sevimli mashg‘ulotlariga bag‘ishlangan loyihalardan tortib, taniqli texnologik startaplargacha.

Ba’zi hisob-kitoblarga ko’ra, zamonaviy veb-ilova kodining 97% npm modullaridan iborat. Biroq, ularning mashhurligi va bepul kirishi muqarrar ravishda kiber jinoyatchilarni jalb qiladi. Masalan, 2021-yilda noma’lum buzg‘unchilar mashhur UAParser.js JavaScript kutubxonasining bir nechta versiyalarini (haftasiga o‘rtacha 6-8 million marta yuklab olinadi) zararli kodlar bilan ta’minlash orqali buzib kirishdi. Zararli kutubxonani oʻz ichiga olgan mahsulotlar kiberjinoyatchilarga kriptovalyutani qazib olish va virusli qurilmalardan brauzer cookie-fayllari, parollar va operatsion tizim hisob maʼlumotlari kabi nozik maʼlumotlarni oʻgʻirlash imkonini berdi.

Mana yaqinroq misol: 2022-yil 26-iyulda tadqiqotchilarimiz npm omborida paydo bo‘ladigan yangi tahdidni aniqladilar va uni LofyLife deb nomladilar.

LofyLife nima?

Bizning ichki avtomatlashtirilgan ombor monitoringimiz tizimidan foydalanib, tadqiqotchilarimiz npm omborida LofyLife nomli zararli kampaniyani aniqladilar. Kampaniyada Volt Stealer va Lofy Stealer zararli dasturlarini tarqatuvchi to‘rtta zararli dasturlar paketidan foydalanilgan, ular qurbonlarga josuslik qilish va ularning kompyuterlaridan turli ma’lumotlarni, jumladan Discord tokenlari va bog‘langan kredit karta ma’lumotlarini to‘plash uchun foydalanilgan.

Zararli yuklangan paketlar sarlavhalarni formatlash yoki ba’zi o’yin funktsiyalarini dasturlarga joylashtirish kabi umumiy vazifalar uchun ishlatilgan. Paket tavsiflari to’liq bo’lmagan va umuman olganda, hujumchilar kampaniyani ishonchli ko’rsatish uchun ko’p harakat qilmagan ko’rinadi. Sarlavhani formatlash paketi braziliyalik portugal tilida va #brazil xeshtegiga ega bo’lsa-da, bu hujumchilar Braziliyadan foydalanuvchilarni nishonga olganligini ko’rsatgan bo’lsa, boshqa paketlar ingliz tilida edi, shuning uchun ular boshqa mamlakatlardan foydalanuvchilarni nishonga olishlari mumkin edi.

Proc-title deb nomlangan zararlangan paketlardan birining tavsifi (Portugal tilidan tarjimasi: Bu toʻplam Chikago uslubiy qoʻllanmasiga muvofiq sarlavhalaringizni katta harf bilan yozadi)

Paketlarda noaniq zararli kod bor edi, bu ularni omborga yuklanganda tahlil qilishni qiyinlashtirdi. Foydali yuk Volt Stealer (ochiq manbali zararli dastur skripti) deb nomlangan Python dasturi va Lofy Stealer deb nomlangan JavaScript dasturidan iborat bo‘lib, u bir nechta funksiyalarga ega.

Volt Stealer virusli mashinalardan Discord tokenlarini o’g’irlash va ularni HTTP orqali hujumchilarga yuklash uchun ishlatiladi (jabrlanuvchining IP manzili ma’lumotlari bilan birga). Lofy Stealer, jinoyatchilarning yangi ishlanmasi, Discord mijoz fayllarini yuqtirish va jabrlanuvchining faoliyatini nazorat qilish, foydalanuvchi tizimga qachon kirishini, ro’yxatdan o’tgan elektron pochta manzili yoki parolni o’zgartirishini, ko’p faktorli autentifikatsiyani yoqish yoki o’chirishni yoki yangi to’lov usulini qo’shishini aniqlashga qodir (bu holda Lofy Stealer kredit karta ma’lumotlarini o’g’irlaydi). Shuningdek, u to’plangan ma’lumotlarni uzoq so’nggi nuqtaga yuklashi mumkin.

O’zingizni zararli paketlardan qanday himoya qilish kerak

Repozitariylar har kimga o’z paketlarini nashr qilish imkonini beradi va hech kim ularning xavfsizligini kafolatlay olmaydi. Misol uchun, tajovuzkorlar nomdagi bir nechta harflarni o’zgartirish orqali o’z ijodlarini mashhur npm paketlari sifatida o’tkazishlari mumkin (foydalanuvchini qonuniy paketni yuklab olmoqda deb o’ylash uchun). Shuning uchun biz doimo ehtiyot bo’lishingizni va hatto tanish paketlarni ishonchli deb hisoblamaslikni tavsiya qilamiz.

Umuman olganda, ishlab chiqish yoki qurish muhiti ta’minot zanjiri hujumlarini o’rnatishga urinayotgan tajovuzkorlar uchun oson nishondir. Bu shuni anglatadiki, bunday muhitlarda Kaspersky Hybrid Cloud Security kabi zararli dasturlardan ishonchli himoya zarur. Mahsulotlarimiz HEUR:Trojan.Script.Lofy.gen va Trojan.Python.Lofy.a hukmlari bilan LofyLife komponentlarini muvaffaqiyatli aniqlaydi.

Agar siz yangi zararli dasturlar, shu jumladan ochiq kodli kod orqali tarqatiladigan kampaniyalar haqida birinchilardan bo’lib bilishni istasangiz, tahdidlar haqida hisobotlarga obuna bo’ling, masalan, Threat Intelligence Portal orqali taqdim etiladi.