Una nueva campaña de ataque «coordinada» a la cadena de suministro afectó a ocho paquetes en Packagist que contenían código malicioso diseñado para ejecutar archivos binarios de Linux recuperados de las URL de lanzamiento de GitHub.
«Los paquetes afectados eran todos paquetes de Composer, pero el código malicioso no se agregó a Composer.json», dijo Socket. «En cambio, se insertó en package.json para proyectos que incluyen herramientas de compilación de JavaScript junto con código PHP».
Esta «implementación entre ecosistemas» hace que la actividad sea más visible para los desarrolladores y equipos de seguridad que analizan las dependencias de PHP, ya que pueden centrarse únicamente en los metadatos relacionados con Composer y omitir los enlaces del ciclo de vida de package.json incluidos en los paquetes. Desde entonces, la versión maliciosa se eliminó de Packagist.
El análisis del paquete modifica el repositorio ascendente para descargar el binario de Linux desde la URL de lanzamiento de GitHub (‘github(.)com/parikpreyash4/systemd-network-helper-aa5c751f’), lo guarda en la carpeta ‘/tmp/.sshd’, cambia sus permisos usando ‘chmod’ para otorgar permisos de ejecución a todos los usuarios e intenta ejecutar la instalación posterior. Resulta que hay un guión incluido. Está en el fondo.
Los nombres de los paquetes y las versiones afectadas asociadas se enumeran a continuación.
moritz-sauer-13/silver Stripe-cms-theme (dev-master) crosiersource/crosierlib-base (dev-master) devdojo/wave (dev-main) devdojo/genesis (dev-main) katanaui/katana (dev-main) Elitedevsquad/sidecar-laravel (3.x-dev) r2luna/brain (dev-main) baskarcm/tzi-chat-ui (dev-principal)
La investigación de Socket encontró referencias a la misma carga útil en 777 archivos en GitHub, lo que sugiere que puede ser parte de una campaña más amplia. Agregado al flujo de trabajo de GitHub al menos dos veces. Sin embargo, actualmente no está claro cuántos de estos coinciden con compromisos individuales, bifurcaciones, artefactos de paquetes duplicados o referencias almacenadas en caché.
«Esto sugiere que los atacantes no confiaron en un único mecanismo de ejecución. En el artefacto del paquete, la carga útil se activó a través del script postinstalación package.json», dijo la firma de seguridad de aplicaciones. «En el archivo de flujo de trabajo, se colocó para ejecutarse durante un trabajo de GitHub Actions».
Además, se desconoce la naturaleza exacta de la carga útil descargada de GitHub, ya que la cuenta de GitHub asociada con el repositorio que la aloja ya no está disponible. La elección del nombre «gvfsd-network» para este malware es interesante. Esto se debe a que se refiere al demonio del Sistema de archivos virtual de GNOME (GVfs), que es responsable de administrar y explorar recursos compartidos de red.
«Incluso sin el binario de segunda etapa, un instalador malicioso es suficiente para justificar el bloqueo», dijo Socket. «Ejecuta código de forma remota durante la instalación o el flujo de trabajo de compilación e intenta ocultar su actividad deshabilitando la validación TLS, suprimiendo errores y ejecutando archivos binarios descargados en segundo plano».
Source link
