Μια πρόσφατη επίθεση στον τομέα της ασφάλειας των προγραμματιστών έχει αναδείξει σοβαρά ζητήματα στον τρόπο με τον οποίο διαχειρίζονται οι αλυσίδες εφοδιασμού λογισμικού. Στο στόχαστρο βρέθηκαν πακέτα τοπικής προσαρμογής του Laravel Lang, που καταλήγουν να εκθέτουν τους προγραμματιστές σε μια εξελιγμένη καμπάνια κλοπής διαπιστευτηρίων, καθώς οι εισβολείς εκμεταλλεύτηκαν ετικέτες GitHub για την εξάπλωση κακόβουλου κώδικα μέσω των πακέτων Composer.
Εταιρείες ασφάλειας, όπως η StepSecurity, η Aikido Security και η Υποδοχή, προειδοποίησαν για τη σοβαρότητα του συμβιβασμού, υπογραμμίζοντας ότι οι κακόβουλοι χρήστες τροποποίησαν υπάρχουσες ετικέτες σε τέσσερα αποθετήρια του Laravel Lang.
Τα πακέτα που επηρεάστηκαν περιλάμβαναν τα laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/χαρακτηριστικά και δυνητικά laravel-lang/actions. Είναι σημαντικό να σημειωθεί ότι τα πακέτα αυτά ανήκουν σε τρίτους και δεν είναι επίσημα μέρη του έργου Laravel.
Σύμφωνα με τη Socket, οι επιτιθέμενοι παραβίασαν 233 εκδόσεις σε τρία αποθετήρια, την ώρα που η Aikido έκανε λόγο για συνολικά 700 ιστορικές επηρεασμένες εκδόσεις.
Σε αντίθεση με άλλες επιθέσεις, οι εισβολείς δεν τροποποίησαν τον πηγαίο κώδικα του έργου ώστε να προσθέσουν κακόβουλο λογισμικό. Αντίθετα, επανασχεδίασαν ετικέτες GitHub για να παραπέμπουν σε κακόβουλες δέσμες. StepSecurity ανέφερε ότι οι επιθέσεις ξεκίνησαν στις 22:32 UTC. Όλες οι επαναγραφές χρησιμοποίησαν μια ψεύτικη ταυτότητα συγγραφέα, κατά παράβαση των αρχών ασφαλείας.
Η Υλοποίηση του Κλέφτη Διαπιστευτηρίων
Σύμφωνα με τις έρευνες, οι κακόβουλες εκδόσεις περιλάμβαναν ένα κακόβουλο αρχείο με την ονομασία ‘src/helpers.php’, το οποίο φορτώθηκε αυτόματα μέσω Composer.
Ο κακόβουλος κώδικας που εισήχθη λειτουργούσε ως σταγονόμετρο, κατεβάζοντας ένα δεύτερο ωφέλιμο φορτίο από τον διακομιστή εντολών και ελέγχου του εισβολέα.
Η ληφθείσα PHP κακόβουλη πηγή [VirusTotal] είχε σχεδιαστεί για να κλέψει διαπιστευτήρια από Linux, macOS και Windows, εξάγοντας δεδομένα όπως κλειδιά SSH, μυστικά Kubernetes και διαπιστευτήρια cloud.
Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιούσε κανονικές εκφράσεις για να στοχεύει ευαίσθητες πληροφορίες από διάφορες πηγές δεδομένων.
Πηγή: BleepingComputer
Στα Windows, το κακόβουλο φορτίο παρήγαγε ένα εκτελέσιμο αρχείο με βάση υπερκώδικα [VirusTotal], το οποίο αποθηκεύεται με τυχαία ονομασία στον φάκελο %TEMP% και εκκινηθεί αυτομάτως.
Ονομάζεται “DebugElevator” και σχεδιάστηκε να στοχεύει δημοφιλή προγράμματα περιήγησης αποσπώντας κλειδιά κρυπτογράφησης των αποθηκευμένων διαπιστευτηρίων τους.
Πηγή: BleepingComputer
Μια διαδρομή PDB ενοχοποιεί και την τεχνητή νοημοσύνη στο σχεδιασμό της κακόβουλης εφαρμογής.
C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb
Μετά την εξαγωγή των ευαίσθητων δεδομένων, το κακόβουλο λογισμικό τα κρυπτογραφεί και τα αποστέλλει πίσω στον διακομιστή του εισβολέα.
Το Aikido ανέφερε το περιστατικό στο Packagist, το οποίο προχώρησε γρήγορα σε ενέργειες αφαιρώντας τις κακόβουλες εκδόσεις και περιορίζοντας τα επηρεαζόμενα πακέτα.
Συστήνεται στους προγραμματιστές που έχουν εγκαταστήσει πακέτα Laravel Lang να ελέγξουν τις εκδόσεις τους, να ανανεώσουν τα εκτεθειμένα διαπιστευτήρια και να επιθεωρήσουν τα συστήματά τους για ενδείξεις παραβίασης.
Τα αυτοματοποιημένα εργαλεία διείσδυσης προσφέρουν πραγματική αξία, αλλά κατασκευάστηκαν για να απαντήσουν σε μια ερώτηση: μπορεί ένας εισβολέας να μετακινηθεί μέσω του δικτύου; Δεν δημιουργήθηκαν για να ελέγξουν εάν τα χειριστήρια σας μπλοκάρουν απειλές, αν ενεργοποιούνται οι κανόνες ανίχνευσης ή αν διατηρούνται οι διαμορφώσεις του cloud.
Αυτός ο οδηγός καλύπτει τις 6 επιφάνειες που πρέπει πραγματικά να επικυρώσετε.
