بدافزار جدید NPM در استخراج ارزهای دیجیتال شناسایی شد

به گزارش سیتنا، همه این نرم افزارهای استخراج ارز دیجیتال که در مخزن رسمی NPM بارگذاری شده بودند در کتابخانه‌های قانونی جاوا اسکریپت مخفی شده بودند و در سه کتابخانه جاوااسکریپت یافت شدند.

بسته‌های مخرب:

سه بسته مخرب وجود دارد که در زیر به آنها اشاره شده است:

1.okhsa

2.klow

Klown.‎3

همه‌ی این بسته‌های مخرب فوق به صورت تجزیه کننده سر صفحه‌ی عامل کاربر(User-agent) پنهان شده و در تاریخ 15 اکتبر توسط یک ناشر بارگذاری شده بودند، با این حال این سه بسته مخرب بلافاصله شناسایی و کارشناسان آنها را به واحد اجرایی NPM گزارش کردند، واحد اجرایی NPM به سرعت این بسته‌های مخرب را از مخزن رسمی حذف کرد، اما قبل از حذف آنها، این بسته‌ها بیش از 150 بار دانلود شده بودند.

بر اساس گزارش، از سه بسته فوق، klow وklown یک استخراج کننده ارز دیجیتال و کد مخرب داشتند که بصورت وابسته در بسته oksa استفاده می‌شد.

بسته به پلتفرم مورد استفاده  کاربر مانند macOS ،Linux ،Windows یک اسکریپت bat یا sh بر روی سیستم کاربر بارگذاری شده بود، هنگامی که اسکریپت bat یا sh بارگیری شد، شروع به دانلود فایل‌های EXE یا Linux ELF از یک میزبان خارجی می‌کند، که بعدا برای اجرا توافق‌هایی که موارد زیر را در نظر دارند‌؛ استفاده می‌شود.

1. استخر استخراج (mining pool)

2. آدرس کیف پول‌های ارز دیجیتال

3. تعداد رشته‌های پردازنده برای استفاده

در اینجا، در پس زمینه یک سیستم آلوده، EXE مخرب بی صدا اجرا می‌شود و به همین دلیل کل فرآیند مخفی می‌ماند، اما هنوز مشخص نیست که اپراتورهای این بسته‌های مخرب چگونه برنامه نویسان را هدف قرار می‌دهند.

علاوه براین Sonatype اطمینان داده است که آنها به‌طور مداوم بدافزارهای Brandjacking،Typosquatting و Cryptomining را که در مخازن نرم افزار پنهان شده‌اند زیر نظر دارد. دو بسته مخرب NPM در ژوئیه سال 2021 در مخزن NPM یافت شد و نه تنها در سرقت اطلاعات از مرورگرهای کروم نقش داشتند، بلکه حتی به فعالیت جاسوس افزارها هم کمک می‌کردند.

انتهای پیام