قام أحد المهاجمين باختراق حساب npm الخاص بمشرف Axios الرئيسي في 30 مارس واستخدمه لنشر نسختين ضارتين من مكتبة عميل JavaScript HTTP المستخدمة على نطاق واسع، وفقًا لما ذكرته صحيفة “ديلي ميل” البريطانية. StepSecurity. قامت الإصدارات المسمومة، axios@1.14.1 وaxios@0.30.4، بحقن تبعية مخفية قامت بتثبيت حصان طروادة عبر الأنظمة الأساسية بصمت على أجهزة المطورين التي تعمل بنظام التشغيل macOS وWindows وLinux. يتم تنزيل Axios حوالي 100 مليون مرة أسبوعيًا على npm.
أضاف كلا الإصدارين الضارين تبعية واحدة جديدة إلى بيان الحزمة: plain-crypto-js@4.2.1، وهو حصان طروادة مصمم لهذا الغرض متنكر في هيئة مكتبة crypto-js الشرعية. لم يتم استيراد الحزمة أو الإشارة إليها مطلقًا في أي مكان في كود مصدر Axios. كانت وظيفتها الوحيدة هي تنفيذ برنامج نصي ما بعد التثبيت الذي اتصل بخادم الأوامر والتحكم على sfrclak.com، وقام بتنزيل حمولة RAT الخاصة بالمنصة، ثم قام بإتلاف جميع الأدلة على تنفيذه.
يستمر المقال أدناه
أكد تحليل وقت تشغيل StepSecurity أن القطارة قامت بأول اتصال خارجي بخادم C2 بعد 1.1 ثانية فقط من بدء تثبيت npm. في نظام التشغيل macOS، تمت كتابة ملف RAT الثنائي إلى /Library/Caches/com.apple.act.mond، لمحاكاة عملية نظام Apple. على نظام التشغيل Windows، قامت البرامج الضارة بنسخ PowerShell إلى %PROGRAMDATA%\wt.exe ونفذت برنامجًا نصيًا مخفيًا. في نظام التشغيل Linux، تم تنزيل RAT المستند إلى Python إلى /tmp/ld.py.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات