هشدار امنیتی: بدافزار جدید در کمین توسعهدهندگان نرمافزار است
پژوهشگران امنیتی شرکت JFrog از شناسایی دو بستهی مخرب در پلتفرم npm خبر دادند که برای استقرار بدافزارهای سرقت اطلاعات در ویندوز، لینوکس و مک طراحی شدهاند. این بستهها با نام html-to-gutenberg و fetch-page-assets در ۴ خرداد بارگذاری شده بودند و اکنون از دسترس خارج شدهاند.
به گزارش JFrog، این حمله برخلاف روشهای معمول، از اسکریپتهای چرخهی حیات npm استفاده نمیکند. بدافزار مذکور با بهرهگیری از یک وظیفهی خودکار در VS Code با نام eslint-check، به محض بازشدن پوشهی پروژه در محیط توسعه، کدهای مخرب را اجرا میکند.
بدافزار کدهای مخرب خود را در قالب یک فایل فونت با نام fa-solid-400.woff2 پنهان میکند. پس از اجرا، بدافزار با اتصال به زیرساختهای بلاکچین، کدهای جاوا اسکریپت مرحلهی بعد را دریافت و یک درِ پشتی Socket.io برای کنترل از راه دور سیستم ایجاد میکند.
تحلیلگران امنیتی این فعالیت را بخشی از کمپین Fake Font میدانند که به عوامل مرتبط با کرهی شمالی نسبت داده میشود. این کمپین با هدف سرقت کیف پولهای رمز ارز، اعتبارنامههای مرورگر و اطلاعات حساس توسعهدهندگان طراحی شده است.
بدافزار نهایی که بهصورت یک لودر پایتون عمل میکند، قادر به سرقت اطلاعات از مرورگرهای مبتنیبر کرومیوم و فایرفاکس، ابزارهای مدیریت پسورد و ابزارهای توسعهدهنده مانند Git و GitHub CLI است. اطلاعات سرقتی در نهایت به صورت فایلهای فشرده به سرور مهاجمان یا یک ربات تلگرامی ارسال میشود.