Злоумышленники внедрили троян в npm-пакет WeaveDB компании Arweave для распространения вредоносного ПО

Злоумышленники внедрили программу для кражи информации в 36 пакетов npm, связанных с экосистемой Arweave. Она была нацелена наdentданные разработчиков, SSH-ключи и файлы криптокошелька Exodus. Компания JFrog, специализирующаяся на безопасности, tracатаку до скомпрометированной учетной записи сопровождающего проекта.

Вредоносная программа называется IronWorm и создана на языке Rust. Она активируется в момент установки разработчиком пакета npm. После запуска она сканирует зараженный компьютер на наличие 86 переменных окружения и 20dentJFrog исследовательская для аутентификации npmdentи данные криптокошельков.

В пакетах проектов Arweave содержится скрытое вредоносное ПО для Rust

Злоумышленники взломали учетную запись npm под названием «asteroiddao», принадлежащую группе asteroid-dao на GitHub, входящей в проект децентрализованной базы данных Arweave/WeaveDB.

Все пакеты, связанные с учетной записью «asteroiddao», были переизданы в короткие сроки, при этом каждая новая версия содержала файл Linux размером 976 КБ, расположенный в каталоге tools/.

В файле package.json было указано, что файл должен запускаться автоматическиmaticхук preinstall , то есть он запускался еще до того, как npm начинал установку чего-либо. Все, что оставалось сделать жертве, — это запустить команду npm install .

Команда JFrog разобрала файл и обнаружила, что он был упакован таким образом, чтобы обмануть стандартные инструменты распаковки. Внутри находилась большая программа на Rust, которая хранила свои строки зашифрованными по отдельности, причем каждая из них была заблокирована отдельно, что значительно затрудняло анализ.

Когда эти строки наконец были расшифрованы, они выявили конечные точки API GitHub, пути к файламdentданных, поддельные учетные записи ботов, связанные с реальными идентификаторами пользователей GitHub, и шаблоны для внедрения вредоносного кода в другие реестры пакетов.

Украденные токены GitHub позволяют вредоносному ПО отправлять коммиты и заражать больше репозиториев

Получивdentданные, IronWorm использовал их для отправки коммитов в репозитории, к которым имела доступ жертва. Эти коммиты внедряли тот же вредоносный бинарный файл в другие пакеты, которые затем могли быть опубликованы в npm и скомпрометировать следующего разработчика в цепочке.

JFrog обнаружил 57 вредоносных коммитов с задним числом в девяти GitHub . В коммитах использовалось имя автора «claude» с адресом электронной почты [email protected]. Временные метки были подделаны, чтобы соответствовать последнему легитимному коммиту каждого репозитория. Один из коммитов, по-видимому, датировался 13 годами ранее, хотя журналы GitHub Actions подтвердили, что все push-запросы были отправлены в течение нескольких дней после обнаружения.

В число пострадавших организаций вошли asteroid-dao, weavedb, ArweaveOasis, а также несколько личных аккаунтов, связанных с разработчиком «ocrybit»

IronWorm также развернул руткит ядра eBPF, чтобы скрываться на зараженных машинах. Связь с оператором осуществлялась через сеть Tor. Компилятор Rust оставил исходный код руткита в бинарном файле, что стало операционной ошибкой, упростившей анализ.

Одна из странностей заключается в том, что оператор жестко закодировал в вредоносное ПО фразу восстановления своего криптовалютного кошелька. JFrog пришел к выводу, что это была мера предосторожности, предотвращающая кражуdentданных злоумышленника во время тестирования.

Вредоносные атаки продолжают поражать npm

Компания Ox Security, специализирующаяся на безопасности приложений, заявила , что атака была обнаружена на ранней стадии, до того, как она смогла распространиться на другие пакеты в npm.

Вредоносные версии были помечены как устаревшие в течение суток, и большинство ретроспективных коммитов были вскоре удалены из GitHub.

14 мая хакеры воспользовались уязвимостью неактивной учетной записи разработчика пакета node-ipc, который еженедельно скачивают более 822 000 раз. Уязвимость была достигнута путем повторной регистрации истекшего домена электронной почты разработчика и сброса пароля npm. Три скомпрометированных варианта содержали вредоносныеdentдля кражи учетных данных и доступа к более чем 90 категориям секретов разработчиков.

Компании Endor Labs и StepSecurity, специализирующиеся на информационной безопасности,dentпараллельную, но отличающуюся от предыдущей атаку с использованием вредоносного ПО на основе JavaScript под названием binding.gyp, которое осуществляло аналогичное отравление реестра и заражение GitHub Actions в тот же период времени.

Разработчикам, установившим любой из затронутых пакетов WeaveDB, следует обновить всеdentданные, проверить файлы блокировки на предмет неожиданных изменений версий и включить двухфакторную аутентификацию в учетных записях npm и GitHub.