ఫాంటమ్ రావెన్ మాల్వేర్
npm పర్యావరణ వ్యవస్థను లక్ష్యంగా చేసుకుని అత్యంత చురుకైన సాఫ్ట్వేర్ సరఫరా గొలుసు దాడిని సైబర్ సెక్యూరిటీ పరిశోధకులు కనుగొన్నారు. ప్రామాణీకరణ టోకెన్లు, CI/CD రహస్యాలు మరియు GitHub ఆధారాలతో సహా సున్నితమైన డెవలపర్ ఆధారాలను నేరుగా రాజీపడిన యంత్రాల నుండి దొంగిలించగల 100 కి పైగా హానికరమైన ప్యాకేజీలు గుర్తించబడ్డాయి.
PhantomRaven అనే కోడ్నేమ్తో కూడిన ఈ ప్రచారం మొదట ఆగస్టు 2025లో ఉద్భవించింది. అప్పటి నుండి, ఇది 126 npm లైబ్రరీలకు విస్తరించింది మరియు 86,000 కంటే ఎక్కువ ఇన్స్టాల్లను సంపాదించింది, ఈ హానికరమైన ప్యాకేజీల వేగవంతమైన వ్యాప్తి మరియు స్వీకరణను ప్రదర్శిస్తుంది.
విషయ సూచిక
రాడార్ కింద ఎగురుతున్న హానికరమైన ప్యాకేజీలు
ఫ్లాగ్ చేయబడిన అనేక ప్యాకేజీలలో ఇవి ఉన్నాయి:
- op-cli-installer – 486 డౌన్లోడ్లు
- ఉపయోగించని దిగుమతులు – 1,350 డౌన్లోడ్లు
- బ్యాడ్జ్కిట్-ఎపిఐ-క్లయింట్ – 483 డౌన్లోడ్లు
- పాలీఫిల్-కోర్జెఎస్3 – 475 డౌన్లోడ్లు
- ఎస్లింట్-కామెంట్స్ – 936 డౌన్లోడ్లు
ముఖ్యంగా PhantomRaven ను మోసపూరితంగా చేసేది దాని రిమోట్ డైనమిక్ డిపెండెన్సీలు (RDDలు) ఉపయోగించడం. అధికారిక npm రిజిస్ట్రీ నుండి కోడ్ను పొందే బదులు, హానికరమైన ప్యాకేజీలు కస్టమ్ HTTP URL (packages.storeartifact.com) ను సూచిస్తాయి. ఇది npm ను నమ్మదగని బాహ్య మూలం నుండి డిపెండెన్సీలను తిరిగి పొందడానికి అనుమతిస్తుంది, npmjs.com రక్షణలను సమర్థవంతంగా దాటవేస్తుంది.
సాంప్రదాయ భద్రతా స్కానర్లు మరియు డిపెండెన్సీ విశ్లేషణ సాధనాలు ఈ RDDలను గుర్తించడంలో విఫలమవుతాయి, ఎందుకంటే ఆటోమేటెడ్ సిస్టమ్లు ప్యాకేజీలను '0 డిపెండెన్సీలు' కలిగి ఉన్నట్లు చూస్తాయి.
దాడి ఎలా పనిచేస్తుంది
డెవలపర్ అంతగా హానిచేయని ప్యాకేజీలలో ఒకదాన్ని ఇన్స్టాల్ చేసిన వెంటనే దాడి గొలుసు ప్రారంభమవుతుంది. కీలక అంశాలు:
ప్రీ-ఇన్స్టాల్ హుక్ ఎగ్జిక్యూషన్ : ప్యాకేజీలో ప్రధాన పేలోడ్ను స్వయంచాలకంగా అమలు చేసే ప్రీ-ఇన్స్టాల్ లైఫ్సైకిల్ స్క్రిప్ట్ ఉంటుంది.
రిమోట్ పేలోడ్ రిట్రీవల్ : స్క్రిప్ట్ దాడి చేసేవారి-నియంత్రిత సర్వర్ నుండి హానికరమైన డిపెండెన్సీని పొందుతుంది.
డేటా ఎక్స్ఫిల్ట్రేషన్ : అమలు చేయబడిన తర్వాత, మాల్వేర్ డెవలపర్ యొక్క వాతావరణాన్ని ఇమెయిల్ చిరునామాల కోసం స్కాన్ చేస్తుంది, CI/CD పర్యావరణ వివరాలను సేకరిస్తుంది, సిస్టమ్ను వేలిముద్రలు (పబ్లిక్ IPతో సహా) మరియు డేటాను రిమోట్ సర్వర్కు పంపుతుంది.
దాడి చేసే వ్యక్తి తన ఇష్టానుసారం పేలోడ్ను సవరించవచ్చు, ప్రారంభంలో ప్యాకేజీ స్వీకరించబడిన తర్వాత హానికరమైన నవీకరణలను నెట్టడానికి ముందు గుర్తింపును తప్పించుకోవడానికి హానిచేయని కోడ్ను అందించవచ్చు.
మానవ మరియు AI బ్లైండ్ స్పాట్లను దోపిడీ చేయడం
ప్యాకేజీ పేర్ల ఎంపిక ఉద్దేశపూర్వకంగానే జరిగింది. బెదిరింపు నటుడు స్లాప్స్క్వాటింగ్ అని పిలువబడే ఒక వ్యూహాన్ని ఉపయోగిస్తాడు, ఇక్కడ పెద్ద భాషా నమూనాలు (LLMలు) ఉనికిలో లేని కానీ ఆమోదయోగ్యమైన-ధ్వనించే ప్యాకేజీ పేర్లను భ్రాంతి చెందిస్తాయి. డెవలపర్లు ఈ ప్యాకేజీలను వాటి వాస్తవిక నామకరణం కారణంగా విశ్వసించవచ్చు, దాచిన ముప్పు గురించి తెలియదు.
పరిశోధకులు గమనించినట్లుగా, ఫాంటమ్ రావెన్ దాడి చేసేవారి పెరుగుతున్న అధునాతనతను హైలైట్ చేస్తుంది:
- రిమోట్ డైనమిక్ డిపెండెన్సీలు స్టాటిక్ విశ్లేషణ నుండి తప్పించుకుంటాయి.
- AI- రూపొందించిన ప్యాకేజీ పేర్లు డెవలపర్ నమ్మకాన్ని దోపిడీ చేస్తాయి.
- లైఫ్సైకిల్ స్క్రిప్ట్లు వినియోగదారు పరస్పర చర్య లేకుండానే స్వయంచాలకంగా అమలు అవుతాయి.
ఈ ప్రచారం, ఓపెన్-సోర్స్ పర్యావరణ వ్యవస్థలలో కోడ్ను దాచడానికి, సాంప్రదాయ భద్రతా సాధనాలలోని అంతరాలను ఎలా ఉపయోగించుకుంటున్నారో దుర్మార్గులు ఎలా కొత్త మార్గాలను కనుగొంటున్నారో నొక్కి చెబుతుంది.
npm ఎందుకు ప్రధాన లక్ష్యం?
ప్యాకేజీలను ప్రచురించడానికి npm పర్యావరణ వ్యవస్థ యొక్క తక్కువ ఘర్షణ, ప్రీఇన్స్టాల్, ఇన్స్టాల్ మరియు పోస్ట్ఇన్స్టాల్ స్క్రిప్ట్ల ఆటోమేటిక్ ఎగ్జిక్యూషన్తో కలిపి, దీనిని ప్రధాన లక్ష్యంగా చేస్తుంది. దాడి చేసేవారు లైఫ్సైకిల్ స్క్రిప్ట్లలో హానికరమైన ప్రవర్తనను దాచవచ్చు, తరచుగా డెవలపర్కు తెలియకుండానే, ఆధునిక అభివృద్ధి వాతావరణాలలో అధిక నిఘా మరియు బలమైన భద్రతా పద్ధతుల అవసరాన్ని ఇది వివరిస్తుంది.
