W ostatnich miesiącach cyberprzestępcy zintensyfikowali swoje działania, wykorzystując platformy takie jak npm i Visual Studio Code (VSCode) Marketplace do dystrybucji złośliwego oprogramowania. Ataki te obejmują przede wszystkim tzw. typosquatting, czyli podszywanie się pod oryginalne pakiety za pomocą podobnie brzmiących nazw, co ma na celu wprowadzenie w błąd deweloperów. Przypadki te stanowią poważne zagrożenie dla bezpieczeństwa łańcucha dostaw oprogramowania. Liderzy branży, jak Ax Sharma z Sonatype, wskazują, że takie działania wymagają dodatkowej uwagi i wzmożonej czujności.
Jednym z przykładów są dwa fałszywe pakiety: PLACEHOLDER43782c4b81c7414c oraz PLACEHOLDERae8ca6e3bc065844. Te złośliwe biblioteki, udające wiarygodne odpowiedniki, były pobierane tysiące razy. PLACEHOLDER910780fc5ef8fc63 prowadzi użytkowników do fałszywego repozytorium na GitHubie utworzonego przez konto o tej samej nazwie. W pakiecie tym zawarte jest złośliwe oprogramowanie w postaci pliku PLACEHOLDER6a73dc1fae96c91b, który działa jako trojan. Co interesujące, ten plik, mimo że posiada rozszerzenie PLACEHOLDER6f442eba29e17c71, faktycznie jest plikiem wykonywalnym PLACEHOLDER915dff2b58bd7dcd, zidentyfikowanym wcześniej jako oprogramowanie typu dropper na platformie VirusTotal. Po zainstalowaniu dodaje się do folderu autostartu systemu Windows, umożliwiając uruchamianie złośliwego kodu przy każdym ponownym uruchomieniu komputera.
Drugi pakiet, PLACEHOLDER7e9774b12774b908, działa w podobny sposób, ale dodatkowo łączy się z adresami URL na platformie Pastebin w celu pobrania kolejnych skryptów. Te z kolei pobierają i uruchamiają złośliwy plik wykonywalny nazwany PLACEHOLDER6a54f54f2679cfc3. Sposób działania obu pakietów pokazuje, jak zaawansowane techniki socjotechniczne i manipulacyjne są stosowane przez atakujących. Sztuczne zwiększanie liczby pobrań również odgrywa tu kluczową rolę. Dzięki temu pakiety te mogą wydawać się wiarygodniejsze i zyskać większe zaufanie u nieświadomych deweloperów.
Co więcej, niepożądane działania nie ograniczają się jedynie do npm. W październiku 2024 roku wykryto również złośliwe rozszerzenia dostępne na platformie VSCode Marketplace. Te narzędzia, początkowo skierowane głównie do społeczności kryptowalutowej, symulowały aplikacje takie jak Zoom czy moduły obsługi języka Solidity. Złośliwe rozszerzenia zawierały ukryty kod JavaScript, który działał jako downloader, pobierając kolejne złośliwe komponenty z zewnętrznych serwerów. Chociaż szczegóły dotyczące dalszych etapów tych ataków nie zostały jeszcze w pełni ujawnione, cała kampania wskazuje na coraz bardziej zaawansowaną inżynierię oprogramowania w działaniach cyberprzestępców.
Lista podejrzanych rozszerzeń obejmuje między innymi:
– EVM.Blockchain-Toolkit
– VoiceMod.VoiceMod
– ZoomVideoCommunications.Zoom
– Ethereum.SoliditySupport
– VitalikButerin.Solidity-Ethereum
Każde z tych rozszerzeń, według Luciji Valentić z ReversingLabs, było bardziej wyrafinowane od poprzedniego, co oznacza, że atakujący stale udoskonalali swoje techniki. Wszystkie złośliwe rozszerzenia zostały już usunięte z Marketplace, ale ich wcześniejsza obecność pokazuje potencjalne zagrożenia związane z otwartymi platformami i repozytoriami.
Cała sytuacja podkreśla konieczność wprowadzenia lepszych mechanizmów bezpieczeństwa w łańcuchu dostaw oprogramowania. Należy również zwrócić uwagę na edukację deweloperów w zakresie cyberbezpieczeństwa, aby unikać przypadkowego wprowadzania szkodliwego kodu jako zależności w projektach. Rozszerzenia IDE, takie jak te dla VSCode, choć mogą być przydatne, są często lekceważone jako potencjalne źródło zagrożeń. Jednak ich kompromitacja może prowadzić do poważniejszych ataków na cykl rozwoju oprogramowania w przedsiębiorstwach.
Wnioski płynące z tych wydarzeń są jasne: ostrożność i odpowiednia weryfikacja źródeł pobierania narzędzi to pierwszy krok w ochronie przed tego typu zagrożeniami.