PhantomRaveni pahavara
Küberturvalisuse uurijad on paljastanud väga aktiivse tarkvara tarneahela rünnaku, mis on suunatud npm ökosüsteemile. Tuvastatud on üle 100 pahatahtliku paketi, mis on võimelised varastama tundlikke arendaja volitusi, sealhulgas autentimismärke, CI/CD saladusi ja GitHubi volitusi otse ohustatud masinatest.
Kampaania, koodnimega PhantomRaven, käivitati esmakordselt 2025. aasta augustis. Sellest ajast alates on see laienenud 126 npm teekini ja kogunud üle 86 000 installi, mis näitab nende pahatahtlike pakettide kiiret levikut ja omaksvõttu.
Sisukord
Pahatahtlikud paketid radari all
Mitmed lipukesega paketid sisaldavad järgmist:
- op-cli-installer – 486 allalaadimist
- kasutamata import – 1350 allalaadimist
- badgekit-api-client – 483 allalaadimist
- polyfill-corejs3 – 475 allalaadimist
- eslint-comments – 936 allalaadimist
PhantomRaveni eriti salakavalaks teeb selle kaugdünaamiliste sõltuvuste (RDD-de) kasutamine. Koodi hankimise asemel ametlikust npm-i registrist suunavad pahatahtlikud paketid kohandatud HTTP URL-ile (packages.storeartifact.com). See võimaldab npm-il hankida sõltuvusi ebausaldusväärsest välisest allikast, möödudes tõhusalt npmjs.com kaitsest.
Traditsioonilised turvaskannerid ja sõltuvuste analüüsi tööriistad ei suuda neid RDD-sid tuvastada, kuna automatiseeritud süsteemid näevad pakette kui „sõltuvusi null”.
Kuidas rünnak toimib
Rünnakuahel algab kohe, kui arendaja installib ühe pealtnäha ohututest pakettidest. Põhielemendid on järgmised:
Eelinstalli konksu käivitamine : Pakett sisaldab eelinstalli elutsükli skripti, mis käivitab automaatselt peamise kasuliku koormuse.
Kaugkasutusega kasuliku koormuse hankimine : skript hangib pahatahtliku sõltuvuse ründaja kontrollitud serverist.
Andmete väljavool : Pärast käivitamist skannib pahavara arendaja keskkonda e-posti aadresside leidmiseks, kogub CI/CD keskkonna üksikasju, võtab süsteemilt sõrmejäljed (sh avaliku IP-aadressi) ja saadab andmed kaugserverisse.
Ründaja saab kasulikku koormust oma äranägemise järgi muuta, esialgu edastades avastamise vältimiseks kahjutut koodi enne pahatahtlike värskenduste levitamist, kui pakett on omaks võetud.
Inimeste ja tehisintellekti pimealade ärakasutamine
Paketinimede valik on tahtlik. Ohu tekitaja kasutab taktikat, mida tuntakse lohakusena, kus suured keelemudelid (LLM-id) hallutsineerivad olematuid, kuid usutavalt kõlavaid paketinimesid. Arendajad võivad neid pakette usaldada nende realistlike nimede tõttu, teadmata varjatud ohust.
Nagu teadlased märgivad, rõhutab PhantomRaven ründajate kasvavat keerukust:
- Kaudsed dünaamilised sõltuvused väldivad staatilist analüüsi.
- Tehisintellekti loodud paketinimed kasutavad ära arendajate usaldust.
- Elutsükli skriptid käivituvad automaatselt ilma kasutaja sekkumiseta.
See kampaania rõhutab, kuidas pahatahtlikud tegutsejad leiavad uusi viise koodi peitmiseks avatud lähtekoodiga ökosüsteemides, kasutades ära traditsiooniliste turvatööriistade lünki.
Miks on npm peamine sihtmärk?
NPM-ökosüsteemi vähene hõõrdumine pakettide avaldamisel koos eelinstallimise, installimise ja installijärgsete skriptide automaatse käivitamisega muudab selle peamiseks sihtmärgiks. Ründajad saavad pahatahtlikku käitumist peita elutsükli skriptidesse, sageli arendaja teadmata, mis näitab vajadust suurenenud valvsuse ja tugevate turvapraktikate järele tänapäevastes arenduskeskkondades.
