Μια πρόσφατη ανακάλυψη από τους ερευνητές της ReversingLabs αποκάλυψε μια εξελιγμένη επίθεση στην εφοδιαστική αλυσίδα λογισμικού, όπου δύο κακόβουλα πακέτα στο npm (Node Package Manager) ενσωματώνουν επίμονα backdoors, ακόμα και μετά την απεγκατάστασή τους.
Μια διαφορετική προσέγγιση στον εφοδιασμό κακόβουλου κώδικα
Οι επιτιθέμενοι πίσω από τα πακέτα ethers-provider2 και ethers-providerz εισήγαγαν μια ύπουλη τεχνική: αντί να λειτουργούν ως αυτόνομα malware, μόλυναν υπάρχοντα νόμιμα πακέτα που είναι ήδη εγκατεστημένα στο σύστημα του προγραμματιστή. Αυτό σημαίνει ότι ακόμα και αν ο χρήστης αφαιρέσει τα κακόβουλα πακέτα, το τροποποιημένο νόμιμο πακέτο παραμένει μολυσμένο, διατηρώντας το backdoor ενεργό.
Το ethers-provider2, για παράδειγμα, βασίζεται στο γνωστό πακέτο ssh2, αλλά περιλαμβάνει ένα τροποποιημένο script εγκατάστασης (install.js) το οποίο κατεβάζει ένα δεύτερο κακόβουλο payload από απομακρυσμένο διακομιστή. Αφού εκτελεστεί, το αρχείο διαγράφεται ώστε να καλυφθούν τα ίχνη της δραστηριότητας. Στη συνέχεια, το δεύτερο αυτό στάδιο ενεργοποιεί ένα τρίτο payload: ένα reverse shell μέσω τροποποιημένου SSH client που μιμείται τη νόμιμη συμπεριφορά του ssh2.
Μόνιμο backdoor με χρήση reverse shell
Το reverse shell που ενεργοποιείται επιτρέπει σε έναν απομακρυσμένο εισβολέα να αποκτήσει συνεχή πρόσβαση στο σύστημα του χρήστη. Το ίδιο μοτίβο εντοπίστηκε και στο ethers-providerz, το οποίο στοχεύει το πακέτο @ethersproject/providers, τροποποιώντας τον κώδικά του ώστε να εγκαταστήσει τον ίδιο τύπο backdoor.
Η ReversingLabs παρατήρησε επίσης ότι ο δημιουργός των πακέτων τροποποιούσε συχνά τον κώδικα, προσπαθώντας να διορθώσει σφάλματα path που απέτρεπαν την ομαλή λειτουργία της επίθεσης. Παράλληλα, αποκαλύφθηκε ότι τα πακέτα reproduction-hardhat και @theoretical123/providers ενδέχεται να αποτελούν μέρος της ίδιας κακόβουλης καμπάνιας.
Επισημάνσεις και οδηγίες προστασίας
Οι ειδικοί προειδοποιούν ότι τέτοιες επιθέσεις είναι δύσκολα ανιχνεύσιμες, καθώς στηρίζονται σε τροποποιήσεις του τοπικού περιβάλλοντος ανάπτυξης. Δεν αρκεί η διαγραφή των “ύποπτων” πακέτων — απαιτείται ενδελεχής έλεγχος όλων των εξαρτήσεων και πιθανή επανεγκατάσταση των μολυσμένων βιβλιοθηκών.
Η ReversingLabs δημοσίευσε έναν κανόνα YARA για την ανίχνευση αυτών των backdoors, και προτείνεται σε όλους τους developers να τον ενσωματώσουν στις διαδικασίες ελέγχου ασφάλειας.
Πρακτικές ασφαλείας για προγραμματιστές
Για να μειωθεί η πιθανότητα παραβίασης μέσω της αλυσίδας εφοδιασμού λογισμικού, συνίσταται:
- Έλεγχος της ταυτότητας των συντακτών των πακέτων.
- Ανάλυση του πηγαίου κώδικα, ιδίως για scripts εγκατάστασης (όπως install.js).
- Παρακολούθηση για ενδείξεις obfuscated κώδικα ή κλήσεις προς εξωτερικούς servers.
- Χρήση εργαλείων όπως το
npq,socket.devκαιSnykγια αυτόματο auditing των npm πακέτων. - Υιοθέτηση πολιτικών least privilege στα dev environments και χρήση sandboxed containers.
Το npm παραμένει ένας από τους πιο ευάλωτους χώρους για επιθέσεις μέσω supply chain, ακριβώς λόγω του μεγέθους και της ανοιχτής φύσης του. Καθώς οι επιθέσεις γίνονται πιο στοχευμένες και παραπλανητικές, απαιτείται αυξημένη επαγρύπνηση από όλους τους εμπλεκόμενους στην ανάπτυξη λογισμικού.
