Εντοπίστηκαν hackers να διαδίδουν trojanized εκδόσεις του jQuery σε πλατφόρμες όπως npm, GitHub και jsDeliv, σε μια φαινομενικά περίπλοκη και επίμονη επίθεση στο supply chain.

“Αυτή η επίθεση ξεχωρίζει λόγω της υψηλής μεταβλητότητας μεταξύ των πακέτων,” ανέφερε ο Phylum σε ανάλυση που δημοσιεύθηκε την περασμένη εβδομάδα. “Ο hacker έχει κρύψει επιδέξια το κακόβουλο λογισμικό στη σπάνια χρησιμοποιούμενη συνάρτηση ‘end’ του jQuery, η οποία καλείται εσωτερικά από την πιο δημοφιλή συνάρτηση ‘fadeTo’ των βοηθητικών προγραμμάτων κίνησης.”

Διαβάστε περισσότερα: Το Mekotio banking trojan στοχεύει χρήστες στη Λατινική Αμερική

Μέχρι στιγμής, 68 πακέτα έχουν συνδεθεί με αυτή την κακόβουλη καμπάνια. Αυτά τα πακέτα δημοσιεύτηκαν στο μητρώο npm από τις 26 Μαΐου έως τις 23 Ιουνίου 2024, χρησιμοποιώντας ονόματα όπως cdnjquery, footersicons, jquertyi, jqueryxxx, logoo και sytlesheets, μεταξύ άλλων.

Υπάρχουν ενδείξεις ότι καθένα από τα πλαστά πακέτα συναρμολογήθηκε και δημοσιεύτηκε χειροκίνητα, λόγω του μεγάλου αριθμού πακέτων που δημοσιεύθηκαν από διάφορους λογαριασμούς, των διαφορών στις ονομαστικές συμβάσεις, της συμπερίληψης προσωπικών αρχείων και της εκτεταμένης χρονικής περιόδου κατά την οποία ανέβηκαν. Αυτό έρχεται σε αντίθεση με άλλες κοινώς παρατηρούμενες μεθόδους, όπου οι hackers συνήθως ακολουθούν ένα προκαθορισμένο μοτίβο που υποδηλώνει την εμπλοκή ενός στοιχείου αυτοματισμού στην δημιουργία και την δημοσίευση των πακέτων.

Σύμφωνα με την Phylum, οι κακόβουλες αλλαγές εισήχθησαν σε μια συνάρτηση ονόματι “end”, επιτρέποντας στον χάκερ να ενεργοποιεί δεδομένα φόρμας ιστότοπου σε μια απομακρυσμένη διεύθυνση URL.

Περαιτέρω έρευνα αποκάλυψε ότι το trojanized αρχείο jQuery φιλοξενείται σε ένα αποθετήριο GitHub που σχετίζεται με έναν λογαριασμό με το όνομα “indexsc”. Το ίδιο αρχείο περιέχει επίσης JavaScript με ένα script που δείχνει την trojanized έκδοση.

“Αξίζει να σημειωθεί ότι το jsDelivr δημιουργεί αυτόματα αυτές τις διευθύνσεις URL του GitHub χωρίς να απαιτεί ρητή μεταφόρτωση στο CDN”, δήλωσε ο Phylum. “Πιθανότατα, αυτή είναι μια απόπειρα του hacker να κάνει την πηγή να φαίνεται πιο νόμιμη ή να παρακάμψει τα τείχη προστασίας (firewall) χρησιμοποιώντας το jsDelivr αντί να φορτώσει τον κώδικα απευθείας από το GitHub.”

Δείτε ακόμη: GootLoader malware: Επιστρέφει με νέα ισχυρή έκδοση

Η εξέλιξη αυτή έρχεται καθώς η Datadog εντόπισε μια σειρά από πακέτα στο αποθετήριο Python Package Index (PyPI) που έχουν τη δυνατότητα να κατεβάσουν ένα δυαδικό δεύτερου σταδίου από έναν server που ελέγχεται από τον hacker, ανάλογα με τη λειτουργία της CPU.

Πηγή: thehackernews