Specjaliści ds. cyberbezpieczeństwa z firmy ReversingLabs wykryli serię złośliwych pakietów opublikowanych w popularnym repozytorium npm, które wymierzone są w użytkowników narzędzia programistycznego Vite. Atakujący wykorzystali technikę typosquattingu, czyli rejestrowania nazw pakietów łudząco podobnych do oryginalnych bibliotek, aby skłonić programistów do nieświadomego pobrania szkodliwego kodu.
Wykryte pakiety to: vite-plugin-proxy-mini, vite-plugin-vue-term, vite-plugin-wallpapers, vite-plugin-sitemap-generator, vite-plugin-loaders, vite-plugin-image-optimizer oraz vite-plugin-gen. Ich nazwy zostały dobrane tak, aby sugerować przydatne rozszerzenia dla środowiska Vite, co zwiększa szansę na sukces ataku w środowiskach deweloperskich.
Mechanizm działania: Blockchain jako serwer sterujący
Najbardziej nietypowym elementem tej kampanii jest sposób, w jaki złośliwe oprogramowanie komunikuje się ze swoimi twórcami. Zamiast korzystać z tradycyjnych serwerów typu Command and Control (C2), które łatwo zablokować, atakujący wykorzystali infrastrukturę blockchain.
Po zainstalowaniu zainfekowanego pakietu, skrypt uruchamia proces, który odczytuje dane z publicznego rejestru blockchain. W ten sposób przestępcy przesyłają instrukcje dla złośliwego oprogramowania oraz adresy serwerów, z których pobierany jest właściwy ładunek – koń trojański typu RAT (Remote Access Trojan). Wykorzystanie technologii rozproszonej rejestracji sprawia, że infrastruktura sterująca atakiem jest niezwykle trudna do wyłączenia, ponieważ nie opiera się na jednym, centralnym punkcie.
Cel ataku i potencjalne skutki
Głównym zadaniem dostarczanego przez pakiety trojana jest przejęcie kontroli nad zainfekowaną maszyną. Po udanej instalacji, RAT umożliwia atakującym zdalne wykonywanie poleceń, co może prowadzić do kradzieży danych, szpiegostwa przemysłowego lub wykorzystania zainfekowanego komputera jako elementu sieci botnet.
Warto zauważyć, że choć pakiety te zostały już usunięte z repozytorium npm, incydent ten stanowi przypomnienie o ryzyku związanym z korzystaniem z zewnętrznych bibliotek typu open source. Programiści powinni zachować szczególną czujność podczas dodawania nowych zależności do swoich projektów, weryfikując zarówno nazwę pakietu, jak i jego popularność oraz historię wydań.
Podsumowanie zagrożenia
Poniższa tabela przedstawia kluczowe aspekty wykrytego ataku:
Atakujący wykazali się wysokim stopniem zaawansowania, integrując nowoczesne technologie blockchain z klasycznymi metodami inżynierii społecznej. Choć bezpośrednie straty finansowe w takich przypadkach są trudne do oszacowania, koszty związane z naruszeniem bezpieczeństwa infrastruktury firmowej mogą sięgać tysięcy dolarów (często przekraczając równowartość kilkudziesięciu tysięcy złotych), biorąc pod uwagę konieczność audytu kodu, usuwania skutków infekcji oraz potencjalnego wycieku własności intelektualnej.