DinteATTT - Block_DinteAttt_PageBreadcrumb

 DinteATTT - Block_DinteAttt_Article_Toolbar
Trang chủ Tin tức

Thư viện Rust nhiễm mã độc bị phát hiện đang truyền thông của tin hệ điều hành tới Telegram

 

Các nhà phát triển đang tiếp tục bị coi là mục tiêu của các cuộc tấn công vào chuỗi cung ứng phần mềm, một số gói mã độc đã được phát hiện trên kho lưu trữ crate của ngôn ngữ lập trình Rust.

Các thư viện này đã được tải lên giữa ngày 14 và 16 tháng 8 năm 2023 và được xuất bản bởi người dùng có tên "amaperf", giống báo cáo của Phylum được công bố vào tuần trước. Tên của các gói, hiện đã bị gỡ bỏ, là: postgress, if-cfg, xrvrv, serd, oncecell, lazystatic, và envlogger.

Chưa rõ mục tiêu cuối cùng của chiến dịch này là gì, nhưng các module đáng ngờ đã được tìm thấy chứa chức năng để thu thập thông tin về hệ điều hành (Windows, Linux, macOS hoặc Unknown) và truyền dữ liệu đó đến một kênh Telegram được cài đặt cứng thông qua API của nền tảng tin nhắn.

Điều này cho thấy chiến dịch có thể đang ở giai đoạn đầu và kẻ tấn công có thể đã đang tạo nên mạng lưới rộng để xâm nhập vào nhiều máy phát triển nhất có thể để phát tán các cập nhật giả mạo với khả năng trích xuất dữ liệu cải tiến.

"Có quyền truy cập vào các khóa SSH, cơ sở hạ tầng sản xuất và IP của công ty, devs bây giờ là một trong những mục tiêu chính của hacker" công ty nói.

Đây không phải lần đầu crates.io xuất hiện như mục tiêu của một cuộc tấn công vào chuỗi cung ứng. Vào tháng 5 năm 2022, SentinelOne đã phát hiện một chiến dịch mang tên CrateDepression sử dụng kỹ thuật typosquatting để đánh cắp thông tin nhạy cảm và tải xuống các tệp tùy ý.

Thông tin này được tiết lộ khi Phylum cũng tiết lộ một gói npm được gọi là emails-helper, một khi được cài đặt, nó thiết lập cơ chế gọi lại để trích xuất thông tin máy tính đến một máy chủ từ xa và khởi chạy các tệp nhị phân được mã hóa đi kèm với nó là một phần của một cuộc tấn công tinh vi.

Module này, được quảng cáo như một "thư viện JavaScript để xác minh địa chỉ email theo các định dạng khác nhau," đã bị gỡ bỏ bởi npm nhưng nó đã kịp thu hút được 707 lượt download kể từ khi được tải lên kho lưu trữ vào ngày 24 tháng 8 năm 2023.

"Cố gắng trích xuất dữ liệu thông qua HTTP và nếu thất bại, kẻ tấn công sẽ quay trở lại trích xuất dữ liệu qua DNS," công ty nói. "Các tệp nhị phân triển khai các công cụ kiểm tra xâm nhập như dnscat2, mettle và Cobalt Strike Beacon."

"Một hành động đơn giản như chạy lệnh npm install có thể khởi đầu chuỗi tấn công phức tạp này. Nhà phát triển cần thận trọng và cân nhắc khi thực hiện các hoạt động phát triển phần mềm của mình."

 

thehackernews.com

 DinteATTT - Block_DinteAttt_TinTuc_LienQuan

 DinteATTT - Block_DinteAttt_Right
Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường - Bộ Tài nguyên và Môi trường
Mọi ý kiến đóng góp xin gửi về địa chỉ thư điện tử cuccntt@monre.gov.vn
Phát triển bởi trung tâm Cơ sở hạ tầng công nghệ thông tin
Tổng lượt xem: 273624