Es wurde ein bösartiges NPM-Paket gefunden, das sich als legitime Softwarebibliothek für Material Tailwind ausgibt. Dies ist ein weiterer Hinweis darauf, dass Bedrohungsakteure versuchen, bösartigen Code in Open-Source-Software-Repositories zu verbreiten.
Material Rückenwind ist ein CSS-basiertes Gerüst wird von seinen Betreibern als "einfach zu verwendende Komponentenbibliothek für Tailwind CSS und Material Design" beworben.
"Das bösartige npm-Paket von Material Tailwind gibt sich zwar als hilfreiches Entwicklungswerkzeug aus, enthält aber ein automatisches Nachinstallationsskript", erklärt Karlo Zanki, Sicherheitsforscher bei ReversingLabs, sagte in einem Bericht, der mit The Hacker News geteilt wurde.
Dieses Skript wurde entwickelt, um eine kennwortgeschützte ZIP-Archivdatei herunterzuladen, die eine ausführbare Windows-Datei enthält, mit der PowerShell-Skripte ausgeführt werden können.
Das jetzt entfernte bösartige Paket mit dem Namen material-schwanzwindcsswurde bis heute 320 Mal heruntergeladen, wobei alle Downloads am oder nach dem 15. September 2022 erfolgten.
In einer Taktik, die immer häufiger angewandt wird, scheint der Bedrohungsakteur die Funktionalität des Originalpakets sorgfältig nachgeahmt zu haben, während er heimlich ein Nachinstallationsskript verwendet, um die bösartigen Funktionen einzuführen.
Es handelt sich dabei um eine ZIP-Datei, die von einem entfernten Server abgerufen wird und eine Windows-Binärdatei enthält, die den Namen "DiagnosticsHub.exe" trägt und wahrscheinlich als Diagnoseprogramm ausgegeben werden soll.
Die ausführbare Datei enthält Powershell-Codefragmente, die für die Befehlssteuerung, die Kommunikation, die Prozessmanipulation und die Einrichtung der Persistenz mittels einer geplanten Aufgabe zuständig sind.
Das typosquatted Material Tailwind Modul ist das jüngste einer Reihe von lang Liste von Angriffe die in den letzten Jahren auf Open-Source-Software-Repositories wie npm, PyPI und RubyGems abzielten.
Der Angriff dient auch dazu, die Software-Lieferkette als Angriffsfläche hervorzuheben, die aufgrund der kaskadenartigen Auswirkungen, die Angreifer durch die Verteilung von bösartigem Code haben können, der über mehrere Plattformen und Unternehmensumgebungen hinweg Schaden anrichten kann, immer mehr an Bedeutung gewonnen hat.
Die Bedrohungen in der Lieferkette haben die US-Regierung auch dazu veranlasst, ein Memo zu veröffentlichen, in dem die Bundesbehörden angewiesen werden, "nur Software zu verwenden, die den Standards für sichere Softwareentwicklung entspricht" und "eine Selbstbestätigung für alle Software von Dritten" einzuholen.
"Die Gewährleistung der Software-Integrität ist der Schlüssel zum Schutz von Bundessystemen vor Bedrohungen und Schwachstellen und zur Verringerung des Gesamtrisikos von Cyberangriffen", so das Weiße Haus. sagte letzte Woche.
https://thehackernews.com/2022/09/malicious-npm-package-caught-mimicking.html?
