Исследователи Checkmarx обнаружили атаки на цепочку поставок П | SecAtor

Исследователи Checkmarx обнаружили атаки на цепочку поставок ПО с открытым исходным кодом, нацеленные исключительно на банковский сектор, где, по меньшей мере, два банка стали их жертвами.

Специалисты назвали инциденты первыми в своем роде. В рамках этих атак злоумышленники использовали продвинутые TTP, включая таргет на конкретные компоненты веб-ресурсов жертв с прикреплением соответствующих вредоносных функции.

В феврале и в апреле 2023 года злоумышленники загрузили пакеты с вредоносными скриптами на npm репозиторий. Что за злоумышленник(и) и какой был характер последствий не сообщается.

Известно, что в одной из атак автор вредоносного ПО загрузил пару пакетов в реестр npm в начале апреля 2023 года. Модули поставлялись с предустановленным сценарием для активации последовательности заражения.

После запуска скрипт определял ОС хоста, и продолжал загружать вредоносное ПО второго уровня Havoc с удаленного сервера, используя поддомен в Azure, который включал название рассматриваемого банка.

В другом случае злоумышленники атаковали страницу входа в систему банка, где они внедрили вредоносный код, который оставался в «спящем» режиме, пока его не активируют в нужный момент.

Он был разработан для скрытого перехвата данных для входа и передачи данных в инфраструктуру, контролируемую субъектом.

Также атакующие использовали прием с созданием фейкового профиля LinkedIn для придания достоверности у жертвы и проводили индивидуальную настройку центров управления и контроля для каждой цели, используя легитимные сервисы.

Действия злоумышленников вполне закономерны и в последнее время опасения относительно безопасности открытого ПО выросли в разы, как и атаки на эту никем не регулируемую субстанцию.