1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. هکرهایی ناشناس ذخایر NPM را دستکاری کرده‌اند

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

هکرهایی ناشناس ذخایر NPM را دستکاری کرده‌اند

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۸/۱۸

هکرهایی ناشناس اقدام به دستکاری دو ذخیره‌ی NPM که توسط افراد در گذشته استفاده می‌شدند کرده است. هدف این هکرها اجرای حمله مرد میانی و به کار گرفتن تروجان بانکی بوده است. با ما همراه بمانید.

همیشه از گوشه و کنار می‌شنویم که هکرها شبکه‌های اینترنتی و اپ‌ها را دستکاری می‌کنند یا حتی از طریق متودهای گوناگون دست به اجرای بدافزار می‌زنند اما حمله مرد میانی شاید چندان رایج نباشد. متأسفانه صرفاً به این دلیل که زیاد از حملات مرد میانی نمی‌شنویم نباید توقع هم نداشته باشیم به ندرت اتفاق بیافتند. دستکاری آرشیوها یا اپ‌ها پیش از رسیدن به مشتریان از خود رد و اثری به جا می‌گذارد که شاید تا بخواهند این رد و اثر را پیدا کنند خیی دیر شده باشد. در این سناریو NPM به کاربران هشدار داد که دو آرشیو coa و rc دستکاری شده و توسط بدافزار آلوده گشته‌اند. این شرکت در گیت‌هاب چنین گفت: «پکیج ان‌پی‌امِ coa نسخه‌هایی داشت که با کد مخرب منتشر شدند. کاربران نسخه‌های آلوده (2.0.3 به بالا) باید هرچه سریعتر به 2.0.2 گرید خود را پایین آورده و سیستم خود را برای پیدا کردن هر فعالیت مشکوکی مورد بررسی قرار دهند».

NPM در ادامه افزود: «هر کامپیوتری که این پکیج را به طور نصب‌شده یا در حال اجرا دارد ممکن است در معرض خطر باشد. همه رمزها و کلیدهای ذخیره‌شده روی آن کامپیوتر باید فوراً از کامپیوتری دیگر rotate شود. این پکیج باید حذف شود اما از آنجایی که کنترل کامل آن کامپیوتر ممکن است به هویتی بیرونی تحویل داده شده باشد هیچ تضمینی وجود ندارد که پکیج همه نرم‌افزارهای آلوده ناشی از نصب را پاک کند».

بدافزاری که مهاجمین به کار بردند ظاهراً متغیر DanaBot بوده است؛ این متغیر به مجرمان اجازه می‌دهد تا اطلاعات از دستگاه قربانیان استخراج و دانلود شود. برخلاف حملات سرقت یوآرال که در آن مجرمان آرشیوهای آلوده را با نام‌های بسیار مشابه با نام‌های رسمی می‌سازند، در این سناریو مجرمان سعی داشتند ذخایر رسمی را دستکاری کرده و فایل‌ها را جایگزین کنند. برای همین است تیم NPM بیانیه‌ای در توییتر منتشر کرد و در آن توضیح داد احتمالاً چه اتفاقی افتاده است.

«امروز صبح ما چند نسخه از پکیج COA را شناسایی کردیم که کد آلوده داشتند. دلیل هم این بود که نگه‌دارنده اکانت، آلوده شده بود. ما سریعاً نسخه‌های آلوده را حذف کردیم و اکانت دستکاری‌شده موقتاً غیرفعال شده است».

آن‌ها همچنین توصیه کردند بقیه نگه‌دارنده‌ها هر چه سریعتر از احراز هویت دوعاملی استفاده کنند که همین نشان‌دهنده‌ی مسیر احتمالی مهاجمین برای دستکاری ذخایر است.