- दुर्भावनापूर्ण npm पॅकेजेस colortoolsv2 आणि mimelib2 ने शोध टाळण्यासाठी Ethereum स्मार्ट कॉन्ट्रॅक्टमधून C2 URL मिळवले.
- ऑन-चेन इनडिरेक्शनमुळे ऑपरेटर्स पॅकेजेस पुन्हा प्रकाशित न करता एंडपॉइंट्स फिरवू शकतात; mimelib2 वर पिव्होट करण्यापूर्वी colortoolsv7 ७ जुलै रोजी काढून टाकण्यात आले.
- एका समन्वित गिटहब पुशमध्ये दुर्भावनापूर्ण अवलंबित्वे लपवण्यासाठी बनावट ट्रेडिंग-बॉट रिपो, फुगवलेले तारे आणि स्क्रिप्टेड कमिटचा वापर करण्यात आला.
- आयओसीमध्ये पॅकेज आवृत्त्या, SHA1 हॅश आणि करार 0x1f171a1b07c108eae05a5bccbe86922d66227e2b, तसेच डिफेंडर्ससाठी मार्गदर्शन समाविष्ट आहे.
धमकी देणाऱ्यांनी एका नवीन युक्तीचा अवलंब केला आहे: दुर्भावनापूर्ण पायाभूत सुविधांना एका कमांड-अँड-कंट्रोल (C2) पॉइंटर्स लपवण्यासाठी इथरियम स्मार्ट कॉन्ट्रॅक्ट npm पॅकेजेसद्वारे वापरले जाते. ReversingLabs नुसार, दोन पॅकेजेस - colortoolsv2 आणि mimelib2 - हार्डकोडेड डोमेन शोधणाऱ्या नियमित तपासणीला बाजूला ठेवून, दुसऱ्या टप्प्यातील पेलोडसाठी URL पुनर्प्राप्त करण्यासाठी ब्लॉकचेनशी शांतपणे संपर्क साधला.
इथरियममधील बगचा फायदा घेण्याऐवजी, ही योजना नेटवर्कचा वापर करते सार्वजनिक, लवचिक अप्रत्यक्ष थर७ जुलै रोजी npm वर colortoolsv2 ब्लॉक केल्यानंतर, ऑपरेटर्सनी जवळजवळ समान तर्कासह mimelib7 वर त्वरित स्विच केले, पुढील चरणासाठी त्याच ऑन-चेन कराराचा संदर्भ देणे सुरू ठेवले.
npm इंस्टॉलपासून ते ऑन-चेन लुकअपपर्यंत: वळण कसे काम करते
colortoolsv2 मध्ये, एक किमान लोडर (index.js) डिस्पॅचर म्हणून काम करत होता जो बाह्य आदेश मागवला आणि स्मार्ट कॉन्ट्रॅक्टमधून त्याचे लक्ष्य मिळवले स्थानिक स्क्रिप्ट किंवा स्टॅटिक कॉन्फिगरेशनऐवजी. इथरस्कॅन 0x1f171a1b07c108eae05a5bccbe86922d66227e2b वर कॉन्ट्रॅक्ट दाखवते, ज्याच्या रीड फंक्शन्सने C2 सेवेपर्यंत पोहोचण्यासाठी वापरलेली URL परत केली.
या ऑन-चेन पॉइंटरमुळे ब्लॉकिंग गुंतागुंतीचे झाले: डिफेंडर फक्त पॅकेजमध्ये हार्डकोडेड डोमेन शोधण्यावर किंवा ब्लॅकलिस्ट करण्यावर अवलंबून राहू शकत नव्हते कारण ऑपरेटर्सच्या नियंत्रणाखाली असलेल्या करारामागे सक्रिय अंत्यबिंदू राहत होता. गंतव्यस्थाने फिरवण्यासाठी फक्त कॉन्ट्रॅक्ट स्टोरेज अपडेट करणे आवश्यक होते, npm आर्टिफॅक्टचे पुनर्प्रकाशन करणे आवश्यक नव्हते आणि परिणामी ब्लॉकचेन ट्रॅफिक कायदेशीर म्हणून मिसळले जात असे.
एकदा इंस्टॉलेशन किंवा रनटाइम दरम्यान कार्यान्वित झाल्यानंतर, लोडरने a पुनर्प्राप्त केले second-stage component (SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21), जे फॉलो-ऑन क्रियाकलाप हाताळत असे. colortoolsv2 च्या वर्तनाची नक्कल करून, mimelib2 ने जवळजवळ समान कोड पथांसह त्याच उद्देशासाठी समान कराराचा पुन्हा वापर केला.
रिव्हर्सिंगलॅब्सने एनपीएम इकोसिस्टममध्ये हा दृष्टिकोन असामान्य असल्याचे वर्णन केले: दुर्भावनापूर्ण URL स्मार्ट कॉन्ट्रॅक्टच्या स्थितीद्वारे होस्ट केल्या गेल्या होत्या., पारंपारिक वेब सेवांवर नाही जे बहुतेकदा मागील पुरवठा-साखळी मोहिमांमध्ये (उदा. क्लाउड स्टोरेज किंवा सारांश) पाहिले जातात.
गिटहब स्मोक अँड मिरर्स: कव्हर म्हणून बनावट ट्रेडिंग-बॉट रिपो
npm पॅकेजेस स्वतंत्रपणे दिसले नाहीत. ऑपरेटरनी क्रिप्टो ट्रेडिंग युटिलिटीज म्हणून सादर केलेल्या GitHub प्रकल्पांचे नेटवर्क उभे केले—सोलाना-ट्रेडिंग-बॉट-व्ही२ सारखे रिपॉझिटरीज—आणि नंतर त्यांना दुर्भावनापूर्ण अवलंबित्वांशी जोडण्यात आले. सामान्य निरीक्षकाला, हे रिपो "जिवंत" दिसत होते, ज्यात हजारो कमिट, अनेक देखभाल करणारे, तारे आणि निरीक्षक होते.
बारकाईने पाहिल्यास असे दिसून आले की बहुतेक क्रियाकलाप स्क्रिप्टेड आणि वरवरचा होता, ज्यामध्ये पुनरावृत्ती होणारे परवाना फाइल मंथन आणि विरळ सामग्रीसह नवीन तयार केलेली खाती (काही १० जुलैच्या सुमारास "हॅलो" सारख्या कमीत कमी README फायलींसह तयार केले गेले). कमिट इतिहासात दिसणारी वापरकर्तानावे - ज्यात स्लुनफ्युएड्रॅक, कॅनोव्हॅलेस आणि पास्टटाइमरल्स यांचा समावेश आहे - स्टेज केलेल्या प्रकल्पांमध्ये वारंवार दिसू लागली.
कमिट्सने कोडबेसमध्ये पॅकेजेस नेमके कुठे थ्रेड केले होते ते दाखवले—अवलंबित्वे म्हणून colortoolsv2 आणि नंतर mimelib2 जोडत आहे bot.ts मध्ये, आणि src/index.ts मध्ये दिसणारे संबंधित आयात. उत्पादित सामाजिक पुराव्यामुळे वरवरच्या पुनरावलोकनादरम्यान अवलंबित्व समाविष्ट करणे खूपच कमी स्पष्ट झाले.
प्रत्यक्षात, गिटहबच्या दर्शनी भागाने विश्वासाचे संकेत वाढवले तर मालवेअरच्या पुढील हालचालीसाठी खरा निर्णय बिंदू इथरियमवर राहिला. सोशल इंजिनिअरिंग (GitHub) आणि कंट्रोल (स्मार्ट कॉन्ट्रॅक्ट) यांचे विभाजन करून, ऑपरेटर्सनी मोहिमेला ओळखणे आणि त्यात व्यत्यय आणणे कठीण केले.
बचावपटूंसाठी आयओसी आणि ठोस पावले
रिव्हर्सिंगलॅब्सने या क्रियाकलापाशी जोडलेल्या कलाकृतींची तपशीलवार यादी प्रकाशित केली, तसेच दुसऱ्या टप्प्याला चालना देणाऱ्या की ऑन-चेन संदर्भासह. खालील आयटम वापरता येतील एक्सपोजर शोधा, ब्लॉक करा आणि प्रमाणित करा बिल्ड पाइपलाइन आणि डेव्हलपर वर्कस्टेशन्समध्ये:
- npm packages: colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27)
- npm packages: mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea)
- Second stage: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
- C2 अप्रत्यक्षतेसाठी वापरलेला स्मार्ट करार: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b
काढून टाकण्याच्या टप्प्यातील अतिरिक्त संदर्भ: ७ जुलै रोजी npm मधून colortoolsv2 काढून टाकण्यात आले., त्यानंतर ऑपरेटर्सनी समान ऑन-चेन संदर्भ आणि जवळजवळ समान लोडर वर्तनासह mimelib2 वर स्विच केले.
अभियांत्रिकी आणि सुरक्षा पथकांसाठी शिफारस केलेल्या कृतींमध्ये हे समाविष्ट आहे: इन्स्टॉल स्क्रिप्ट्सद्वारे केलेले ऑन-चेन लुकअप फ्लॅग करा.; पॅकेज लाईफसायकल हुकमध्ये चाइल्ड_प्रोसेस एक्झिक्युशनवर ब्लॉक किंवा वॉर्न करा; CI मध्ये npm इंस्टॉलेशन दरम्यान नेटवर्क एग्रेस नाकारा; रजिस्ट्री आणि मेंटेनर्ससाठी अलॉयलिस्ट लागू करा; ट्रान्झिटिव्ह व्हर्जन लॉक करा; आणि वरील कॉन्ट्रॅक्ट पत्त्याशी जोडलेल्या विनंत्यांसाठी मॉनिटर करा.
अधिक व्यापकपणे, रिपॉझिटरी लोकप्रियता मेट्रिक्सना गैर-सुरक्षा सिग्नल म्हणून समजा. विश्वास हा कोड, कलाकृती आणि नेटवर्क निर्देशकांमधून निर्माण झाला पाहिजे., तारे मोजणे, कमिट व्हॉल्यूम किंवा अनेक "मेंटेनर्स" चे स्वरूप नाही. स्वतंत्र पडताळणी - स्थिर विश्लेषण, सँडबॉक्स्ड एक्झिक्युशन आणि SBOM-चालित मूळ तपासणी - आवश्यक राहते.
या मोहिमेत जे वेगळे दिसते ते इथेरियम, एनपीएम किंवा गिटहबमधील वैयक्तिक त्रुटी नाही, तर सार्वजनिक पायाभूत सुविधांना एका गुप्त वितरण साखळीत कसे विणता येते हे आहे. C2 डिस्कव्हरी स्मार्ट कॉन्ट्रॅक्टवर हलवणे आणि GitHub द्वारे विश्वासार्हता लॉन्ड्रिंग करणे, कलाकारांनी पारंपारिक शोध आकाराबाहेर काढला. काळजीपूर्वक अवलंबित्व स्वच्छता आणि स्तरित नियंत्रणे हे काउंटरवेट आहेत.
