Νέα καμπάνια κακόβουλου λογισμικού npm Επαληθεύει εάν ο επισκέπτης είναι θύμα ή ερευνητής πριν από την πρόκληση μόλυνσης

Μια εξελιγμένη καμπάνια κακόβουλου λογισμικού που στοχεύει το οικοσύστημα npm έχει εμφανιστεί, αναπτύσσοντας ένα έξυπνο σύστημα ανίχνευσης που διακρίνει μεταξύ των τακτικών χρηστών και των ερευνητών ασφάλειας.

Ο παράγοντας απειλών, που λειτουργεί με το ψευδώνυμο dino_reborn, δημιούργησε επτά κακόβουλα πακέτα npm σχεδιασμένα να ανακατευθύνουν τους χρήστες σε ιστότοπους απάτης με θέμα κρυπτογράφησης, αποφεύγοντας τον εντοπισμό ασφαλείας.

Αυτή η περίπλοκη λειτουργία αντιπροσωπεύει ένα νέο σύνορο στις επιθέσεις της αλυσίδας εφοδιασμού, συνδυάζοντας την τεχνολογία απόκρυψης απόκρυψης κίνησης με τεχνικές αποφυγής που βασίζονται σε προγράμματα περιήγησης για την παροχή κακόβουλου περιεχομένου με στόχευση ακριβείας.

Η καμπάνια αξιοποιεί ένα σύνολο μολυσμένων πακέτων, συμπεριλαμβανομένων των signals-embed, dsidospsodlks, applicationooks21, application-phskck, integrator-filescrypt2025, integrator-2829 και integrator-2830.

Έξι από αυτά τα πακέτα περιέχουν 39 kilobyte κώδικα κακόβουλου λογισμικού, ενώ το έβδομο κατασκευάζει μια κακόβουλη ιστοσελίδα. Όταν οι χρήστες επισκέπτονται τον ιστότοπο που αναπτύσσεται από αυτά τα πακέτα, το κακόβουλο λογισμικό αναλύει αυτόματα τη συμπεριφορά και τα χαρακτηριστικά του συστήματος για να προσδιορίσει το επίπεδο απειλής τους.

Στη συνέχεια, ο ηθοποιός απειλεί δραματικά διαφορετικές εμπειρίες με βάση αυτήν την ταξινόμηση – τα θύματα αντιμετωπίζουν ένα πειστικό ψεύτικο CAPTCHA που οδηγεί σε κακόβουλους προορισμούς, ενώ οι ερευνητές βλέπουν μόνο κενές σελίδες που κρύβουν την πραγματική φύση της επίθεσης.

Αναλυτές ασφαλείας Socket.dev αναγνωρισθείς και τεκμηρίωσε αυτήν την περίπλοκη εκστρατεία αφού ανακάλυψε τη διασυνδεδεμένη υποδομή που συνδέει όλα τα πακέτα με έναν μόνο παράγοντα απειλής.

Η ερευνητική ομάδα εντόπισε το email δημιουργίας στο geneboo@proton[.]εμένα και αποκάλυψε πώς ο εισβολέας χρησιμοποιούσε το Adspect, μια νόμιμη υπηρεσία απόκρυψης απόκρυψης που έχει σχεδιαστεί για να διακρίνει μεταξύ των bots και των πραγματικών επισκεπτών.

Οπλοποιώντας αυτήν την τεχνολογία σε πακέτα npm, ο εισβολέας βρήκε έναν τρόπο να διανέμει αυτόνομο κακόβουλο κώδικα που επιτρέπει αυτόματα την πρόσβαση σε επιβλαβή ωφέλιμα φορτία με βάση εξελιγμένα δακτυλικά αποτυπώματα.

Η επιτυχία της καμπάνιας προέρχεται από την πολυεπίπεδη προσέγγισή της στην αποφυγή τόσο των αυτοματοποιημένων σαρωτών ασφαλείας όσο και της ανθρώπινης ανάλυσης. Κατά την ανάπτυξη, το κακόβουλο λογισμικό αναδιπλώνει τον κώδικά του σε μια Έκφραση Συνάρτησης Άμεσης Κλήσης (IIFE), διασφαλίζοντας ότι εκτελείται αυτόματα χωρίς να απαιτεί ρητές κλήσεις συναρτήσεων.

Ο κώδικας αποκλείει επιθετικά την πρόσβαση των ερευνητών απενεργοποιώντας τα εργαλεία προγραμματιστή του προγράμματος περιήγησης, αποτρέποντας τα μενού περιβάλλοντος με δεξί κλικ, αποκλείοντας συντομεύσεις πληκτρολογίου όπως F12, Ctrl+U και Ctrl+Shift+I και επαναφορτώνοντας συνεχώς τη σελίδα εάν εντοπιστούν Εργαλεία προγραμματισμού.

Τεχνική Ανάλυση Μηχανισμού Αποφυγής Ανίχνευσης

Η ικανότητα του κακόβουλου λογισμικού να διακρίνει τα θύματα από τους ερευνητές βασίζεται σε ένα εξελιγμένο σύστημα δακτυλικών αποτυπωμάτων που συλλέγει δεκατρία διαφορετικά σημεία δεδομένων για κάθε επισκέπτη.

Όταν ένας χρήστης αποκτά πρόσβαση στον παραβιασμένο ιστότοπο, το ωφέλιμο φορτίο JavaScript συλλέγει πληροφορίες, όπως τον παράγοντα χρήστη του προγράμματος περιήγησης, πληροφορίες κεντρικού υπολογιστή, διεύθυνση URL παραπομπής, μέθοδο αιτήματος, όνομα κεντρικού υπολογιστή, κατάσταση κρυπτογράφησης πρωτοκόλλου, χρονική σήμανση αιτήματος, προτιμήσεις γλώσσας και αποδεκτές μορφές κωδικοποίησης.

Αυτή η ολοκληρωμένη συλλογή δεδομένων δημιουργεί ένα λεπτομερές προφίλ που μεταδίδεται στο Adspect API μέσω ενός τερματικού σημείου διακομιστή μεσολάβησης, όπως το Association-google.xyz/adspect-proxy.php, αναδημιουργώντας αποτελεσματικά τις δυνατότητες αιτημάτων από την πλευρά του διακομιστή στο περιβάλλον του προγράμματος περιήγησης.

Η λογική λήψης αποφάσεων αντιπροσωπεύει τη βασική καινοτομία της εκστρατείας. Όταν το Adspect λαμβάνει τα δεδομένα δακτυλικών αποτυπωμάτων, αναλύει τα χαρακτηριστικά κυκλοφορίας και επιστρέφει μια απάντηση που υποδεικνύει εάν ο επισκέπτης φαίνεται νόμιμος ή ύποπτος.

Εάν το API καθορίσει ότι η επισκεψιμότητα προέρχεται από έναν ερευνητή, επιστρέφει μια κατάσταση “ok: false”, ενεργοποιώντας την εμφάνιση μιας κενή λευκής σελίδας που περιέχει μόνο γενικό κείμενο σχετικά με την Offlido, μια ψεύτικη εταιρεία αποθήκευσης εκτός σύνδεσης.

Αυτή η καλοήθης σελίδα παρέχει τέλειο εξώφυλλο, φαίνεται απολύτως νόμιμη σε κάθε αναλυτή που μπορεί να την επιθεωρήσει. Αντίθετα, εάν το Adspect προσδιορίσει ότι ο επισκέπτης είναι πιθανό θύμα, επιστρέφει “ok: true” μαζί με μια κακόβουλη διεύθυνση URL ανακατεύθυνσης και ενεργοποιεί την εμφάνιση μιας ψεύτικης διεπαφής CAPTCHA.

Το CAPTCHA μιμείται πραγματικά συστήματα επαλήθευσης από νόμιμες ανταλλαγές κρυπτογράφησης όπως το Uniswap και ο Jupiter, δανειζόμενος την επωνυμία τους για να δημιουργήσει ψευδή αξιοπιστία.

Όταν τα θύματα κάνουν κλικ στο πλαίσιο ελέγχου επαλήθευσης, αναπαράγεται ένα κινούμενο σχέδιο φόρτωσης τριών δευτερολέπτων πριν εμφανιστεί επιτυχία, ακολουθούμενο από αυτόματη ανακατεύθυνση στο κακόβουλο URL σε μια νέα καρτέλα του προγράμματος περιήγησης.

Αυτή η ψυχολογική χειραγώγηση, σε συνδυασμό με τη γνωστή διεπαφή CAPTCHA, αυξάνει την πιθανότητα τα θύματα να εμπιστευτούν και να ασχοληθούν με την ανακατεύθυνση χωρίς υποψία.

Η ευελιξία της υποδομής του εισβολέα αντιπροσωπεύει ένα άλλο σημαντικό πλεονέκτημα. Επειδή το Adspect επιστρέφει νέες διευθύνσεις URL ανακατεύθυνσης σε κάθε αίτημα, ο παράγοντας απειλής μπορεί να περιστρέφει τους τελικούς προορισμούς από την πλευρά του διακομιστή χωρίς ποτέ να αναδημοσιεύει κανένα πακέτο npm, καθιστώντας τις παραδοσιακές προσπάθειες κατάργησης αντιδραστικές και όχι προληπτικές.

Αυτό επιτρέπει στην καμπάνια να παραμείνει λειτουργική ακόμη και μετά τον αρχικό εντοπισμό και την αφαίρεση του πακέτου από το μητρώο του npm.