تستخدم حزمة ضارة في فهرس Manager Manager Node أحرف Unicode غير المرئية لإخفاء الرمز الخبيث وروابط تقويم Google لاستضافة عنوان URL لموقع الأوامر والسيطرة.
الحزمة ، المسمى OS-INFO-Checker-ES6، يظهر كأداة مساعدة للمعلومات وتم تنزيلها أكثر من 1000 مرة منذ بداية الشهر.
الباحثون في”https://www.veracode.com/resources/sophisticated-npm-attack-leveraging-unicode-steganography-and-google-calendar-c2″ الهدف=”_blank” rel=”nofollow noopener”> فيراكود، وجدت شركة لتقييم أمن الكود ، أنه تمت إضافة الإصدار الأول من الحزمة إلى مؤشر Node Package Manager (NPM) في 19 مارس وكان حميدًا ، حيث تم جمع معلومات نظام التشغيل فقط من المضيف.
أضاف المؤلف تعديلات بعد بضعة أيام لتشمل الثنائيات الخاصة بالمنصة والبرامج النصية للتثبيت.
في 7 مايو ، تم نشر إصدار جديد من الحزمة ، والذي ظهر رمز لـ “a sophisticated C2 (command-and-control) mechanism” هذا يسلم الحمولة النهائية.
أحدث إصدار من ””https://www.npmjs.com/package/os-info-checker-es6″ الهدف=”_blank” rel=”nofollow noopener”> OS-INFO-Checker-ES6″متوفر على NPM في وقت كتابة هذا التقرير هو V1.0.8 وهو خبيث ، تحذر Veracode.
علاوة على ذلك ، يتم سرد الحزمة كاعتماد على أربع حزم NPM أخرى:”https://www.npmjs.com/package/skip-tot” الهدف=”_blank” rel=”nofollow noopener”> تخطي totو”https://www.npmjs.com/package/vue-dev-serverr” الهدف=”_blank” rel=”nofollow noopener”> Vue-Dev-Serverrو”https://www.npmjs.com/package/vue-dummyy” الهدف=”_blank” rel=”nofollow noopener”> vue-dummyy، و ‘”https://www.npmjs.com/package/vue-bit” الهدف=”_blank” rel=”nofollow noopener”> vue-bit- يضع جميعهم كأدوات هندسة منصة الوصول والوصول إلى المطورين.
من غير الواضح ما إذا كان يتم ترقية هذه الحزم من قبل ممثل التهديد.
Unicode Steganography
في النسخة الضارة ، البيانات المضمنة للمهاجم فيما يبدو أنه “|” خيط. ومع ذلك ، يتبع الشريط العمودي سلسلة طويلة من أحرف Unicode غير المرئية من نطاق مكملات اختلاف الاختلاف (U+E0100 إلى U+E01EF).
هذه الأحرف Unicode عادة ما تكون معدلات ، تستخدم عادة “to provide specific glyph variations in complex scripts.”في هذه الحالة ، يتمثل دورهم في تسهيل التصوير الفني القائم على النص – إخفاء المعلومات في بيانات أخرى.
قامت Veracode بفك تشفير السلسلة وتخلص منها للعثور على حمولة لآلية C2 متطورة تعتمد على رابط تقويم Google القصير للوصول إلى الموقع الذي يستضيف الحمولة النهائية.
يوضح الباحث أنه بعد جلب رابط تقويم Google ، يتم فحص مجموعة من عمليات إعادة التوجيه حتى تتلقى استجابة HTTP 200 OK للطلب.
ثم يخلط أ قاعدة البيانات سمة من صفحة HTML للحدث ، والتي تحمل عنوان URL المصنوع من BASE64 يشير إلى الحمولة النهائية.
باستخدام وظيفة تسمىymmogvj ،تم فك تشفير عنوان URL للحصول على حمولة برامج ضارة. يقول الباحثون أن الطلب يتوقع حمولة برامج ضارة مرفوعة من المرحلة الثانية في هيئة الاستجابة ، ومن المحتمل أن يكون متجه التهيئة ومفتاحًا سريًا في رؤوس HTTP- مؤشرا على التشفير المحتمل للحمولة النهائية.
وجد Veracode أيضًا أن الحمولة يتم تنفيذها أيضًا باستخدام eval (). يتضمن البرنامج النصي آلية ثبات بسيطة في الدليل المؤقت للنظام ، والذي يمنع مثيلات متعددة تعمل في نفس الوقت.
في وقت التحليل ، لم يتمكن الباحثون من استرداد الحمولة النهائية ، مما يشير إلى أن الحملة قد تكون معلقة أو لا تزال في مرحلة مبكرة.
على الرغم من الإبلاغ عن النتائج التي توصلت إليها إلى NPM ، فإن الحزم المشبوهة لا تزال موجودة على المنصة.