Πώς οι επιθέσεις “full stack” γίνονται όλο και πιο επικίνδυνες

Όταν ένας ανυποψίαστος προγραμματιστής εγκαθιστά ένα τέτοιο πακέτο, ένα script ενεργοποιείται μετά την εγκατάσταση και συνδέεται με ένα staging endpoint που φιλοξενείται στο Vercel. Από εκεί, παραδίδεται ένα live payload που αντλείται από έναν λογαριασμό στο GitHub, ελεγχόμενο από τους επιτιθέμενους, με το όνομα “stardev0914”. Το payload, που είναι μια παραλλαγή του OtterCookie και ενσωματώνει δυνατότητες από το άλλο χαρακτηριστικό payload της καμπάνιας, το BeaverTail, εκτελείται και δημιουργεί μια απομακρυσμένη σύνδεση με τον διακομιστή ελέγχου των επιτιθέμενων. Το κακόβουλο λογισμικό στη συνέχεια συλλέγει αθόρυβα διαπιστευτήρια, δεδομένα από πορτοφόλια κρυπτονομισμάτων, προφίλ περιηγητών και άλλα.

«Η ανίχνευση του κακόβουλου npm πακέτου tailwind-magic μας οδήγησε σε ένα staging endpoint φιλοξενούμενο στο Vercel, tetrismic[.]vercel[.]app, και από εκεί στον ελεγχόμενο από τους επιτιθέμενους λογαριασμό στο GitHub, ο οποίος περιείχε 18 repositories», ανέφερε ο Kirill Boychenko, ανώτερος αναλυτής απειλών της Socket, σε ένα blog post, αποδίδοντας τα εύσημα για τη συναφή έρευνα στον Kieran Miyamoto που βοήθησε στην επιβεβαίωση του κακόβουλου λογαριασμού stardev0914.

Η πλήρης στοίβα της απειλής: GitHub, Vercel και NPM

Αυτό που κάνει αυτή την καμπάνια να ξεχωρίζει είναι η πολυεπίπεδη υποδομή πίσω από αυτήν. Η ανάλυση της Socket εντόπισε όχι μόνο τα NPM πακέτα, αλλά και πώς οι επιτιθέμενοι έχτισαν μια ολοκληρωμένη γραμμή παράδοσης: repositories που εξυπηρετούν κακόβουλο λογισμικό στο GitHub, staging servers στο Vercel και ξεχωριστούς C2 servers για εξαγωγή δεδομένων και απομακρυσμένη εκτέλεση εντολών.

Η τεχνολογική υποδομή της επίθεσης

Η χρήση του GitHub για τη φιλοξενία του κακόβουλου λογισμικού δεν είναι κάτι νέο, αλλά η ενσωμάτωση με το Vercel για τη δημιουργία staging περιβάλλοντος και η χρήση ξεχωριστών C2 servers δείχνουν μια αυξημένη πολυπλοκότητα. Το Vercel προσφέρει ευκολία στη διαχείριση και την ανάπτυξη εφαρμογών, κάτι που οι επιτιθέμενοι εκμεταλλεύονται για να δημιουργήσουν αξιόπιστα endpoints.

Η χρήση των NPM πακέτων ως φορείς για το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να στοχεύουν προγραμματιστές που συχνά δεν υποψιάζονται ότι εγκαθιστούν κακόβουλο κώδικα. Αυτός ο συνδυασμός τεχνολογιών δημιουργεί μια ισχυρή και δύσκολα ανιχνεύσιμη αλυσίδα επίθεσης.

Γιατί έχει σημασία

Αυτές οι επιθέσεις “full stack” δείχνουν ότι οι επιτιθέμενοι εξελίσσονται και χρησιμοποιούν όλο και πιο σύνθετες μεθόδους για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας. Η κατανόηση αυτών των τεχνικών είναι κρίσιμη για την ανάπτυξη αποτελεσματικών στρατηγικών άμυνας και την προστασία των δεδομένων και των συστημάτων μας. Η συνεργασία μεταξύ των τεχνολογικών εταιρειών και των ερευνητών ασφαλείας είναι απαραίτητη για την αντιμετώπιση αυτών των εξελιγμένων απειλών.