top of page
Forfatters billedeThomas Pedersen

Open Source “infostealer” malware og remote trojaner gemt i NPM-pakker

Opdateret: 12. okt. 2023

En ny sikkerhedsrapport fra en forskningsgruppe fra ReversingLabs har afsløret en farlig trussel mod udviklermiljøet, hvor open source infostealer malwaren, ved navn “TurkoRat” og en remote trojaner er blevet skjult i ondsindede NPM-pakker. NPM er et populært pakkehåndteringssystem til JavaScript-programmering.


Reversing Labs, Malware, Javascipt, NPM, Trojaner, Infostealer, Open Source, IT-Sikkerhed

Forskningen viser, at de ondsindede NPM-pakker blev distribueret gennem npmjs.com, en platform, der anvendes af mange udviklere til at dele og hente JavaScript-kode. Angriberne formåede at infiltrere denne platform og indlejre skadelig kode i flere pakker.


"It is true: None of those capabilities, individually, are malicious. When seen in combination, however, they’re usually supporting malicious functionality. The presence of such suspicious characteristics and behaviors that first caused the npm package “nodejs-encrypt-agent” to come to our attention" Forskningsholdet fra ReversingLabs

Den ondsindede kode fungerede som en infostealer, der kunne stjæle følsomme oplysninger såsom adgangskoder, brugernavne og kreditkortoplysninger fra ofrets systemer. Derudover inkluderede koden også en fjernadgangstrojaner, der kunne give angriberne mulighed for at overtage kontrol over det inficerede system.


En af de pakker, der blev berørt af denne trussel, var "malicious-npm-package", der blev downloadet tusindvis af gange, før den blev opdaget. Forskere advarer om, at der muligvis er flere ondsindede pakker, der endnu ikke er blevet opdaget.


Hvad er infostealer malware?


Infostealer malware er en type ondsindet software designet til at stjæle følsomme oplysninger fra inficerede systemer. Denne form for malware er primært rettet mod at opsnappe og videregive fortrolige data, såsom loginoplysninger, adgangskoder, kreditkortoplysninger og personlige oplysninger.


Infostealer malware fungerer normalt ved at infiltrere et målsystems brugergrænseflade eller ved at overvåge netværkstrafikken. Det kan blive distribueret via ondsindede e-mailvedhæftninger, kompromitterede websider, udnyttelse af sårbarheder i software eller gennem andre metoder som fildeling eller piratkopieret software.


Når infostealer malware er aktivt på et system, arbejder det i baggrunden og forsøger at opsnappe fortrolige data uden brugerens viden. Det kan logge tastetryk, indsamle oplysninger fra webformularer, scanne efter gemte adgangskoder, indsamle cookies fra webbrowsere eller overvåge netværkstrafikken for at opfange følsomme oplysninger.


De stjålne oplysninger sendes derefter tilbage til angriberens kontrolserver, hvor de kan udnyttes til kriminelle formål såsom identitetstyveri, økonomisk svindel eller spionage.


For at beskytte sig mod infostealer malware er det vigtigt at opretholde opdateret sikkerhedssoftware, undgå at downloade filer fra ukendte kilder, være forsigtig med at åbne vedhæftede filer i e-mails fra ukendte afsendere og undgå at klikke på mistænkelige links. Det er også vigtigt at være opmærksom på phishing-forsøg og at anvende stærke, unikke adgangskoder til alle konti.


Hvordan kan man beskytte sig mod det?


Det er vigtigt for udviklere at være forsigtige med de pakker, de bruger i deres projekter, og altid verificere kildekoden og populariteten af pakken, før de implementeres. Desuden anbefales det at holde alle softwareværktøjer opdaterede for at undgå udnyttelse af kendte sårbarheder.


NPM har allerede taget skridt til at reagere på denne situation ved at fjerne de ondsindede pakker fra deres platform og undersøge, hvordan angrebet kunne ske. De arbejder også på at forbedre sikkerheden for at forhindre lignende hændelser i fremtiden.


Denne episode understreger vigtigheden af sikkerhed og opmærksomhed på trusler i udviklermiljøet. Ved at være opmærksomme på potentielle risici og følge bedste praksis kan udviklere hjælpe med at beskytte sig mod sådanne angreb og sikre, at de skaber sikker kode og softwareprodukter.

Commentaires


bottom of page