Satu set baru 16 paket NPM berbahaya berpura-pura menjadi penguji kecepatan internet tetapi, pada kenyataannya, adalah penambang koin yang membajak sumber daya komputer yang dikompromikan untuk menambang cryptocurrency untuk para pelaku ancaman.
Paket diunggah ke NPM, sebuah repositori online yang berisi lebih dari 2,2 juta paket JavaScript sumber terbuka yang dibagikan di antara pengembang perangkat lunak untuk mempercepat proses pengkodean.
CheckPoint menemukan paket ini pada 17 Januari 2023, semuanya diunggah ke NPM oleh pengguna bernama “trendava”. Mengikuti laporan perusahaan, NPM menghapusnya keesokan harinya.
Enam belas paket NPM berbahaya yang memasang penambang cryptocurrency adalah:
- lagra
- speedtesta
- speedtestbom
- speedtestfast
- speedtestgo
- speedtestgod
- speedtestis
- speedtestkas
- speedtesto
- speedtestrun
- speedtestsolo
- speedtestspa
- speedtestwow
- speedtestzo
- trova
- trovam
Sebagian besar paket menampilkan nama yang menyerupai penguji kecepatan internet, tetapi semuanya adalah penambang cryptocurrency. Meskipun memiliki tujuan yang sama, analis CheckPoint menemukan bahwa setiap paket menggunakan pengkodean dan metode yang berbeda untuk menyelesaikan tugasnya.
“Adil untuk menganggap perbedaan ini mewakili percobaan yang dilakukan penyerang, tidak mengetahui sebelumnya versi mana yang akan terdeteksi oleh alat pemburu paket jahat dan oleh karena itu mencoba berbagai cara untuk menyembunyikan niat jahat mereka,” komentar CheckPoint.
“Sebagai bagian dari upaya ini, kami telah melihat penyerang menghosting file jahat di GitLab. Dalam beberapa kasus, paket jahat berinteraksi langsung dengan kumpulan crypto, dan dalam beberapa kasus, mereka tampaknya memanfaatkan executable untuk kebutuhan itu.”
Misalnya, paket “speedtestspa” mengunduh helper dari GitLab dan menggunakannya untuk terhubung ke kumpulan penambangan cryptocurrency, sedangkan “speedtestkas” menyertakan file helper berbahaya di dalam paket.
Paket “speedtestbom” melangkah lebih jauh dengan mencoba menyembunyikan alamat kumpulan penambangan cryptocurrency, jadi alih-alih melakukan hardcoding, itu terhubung ke IP eksternal untuk mengambilnya.
Contoh keempat yang diberikan dalam laporan CheckPoint adalah paket “speedtesto” yang menampilkan kode dari utilitas pengujian kecepatan aktual, menawarkan fungsionalitas yang dijanjikan kepada pengguna yang tidak menaruh curiga.
Pengembang perangkat lunak dapat meminimalkan kemungkinan menjadi korban serangan rantai pasokan tersebut dengan meninjau kode dengan hati-hati dalam paket apa pun yang mereka tambahkan ke proyek mereka.
Selain itu, sangat penting untuk hanya mempercayai sumber dan penerbit yang memiliki reputasi baik dan memvalidasi nama untuk menghindari penginstalan paket kesalahan ketik yang berbahaya.
Pekan lalu, peneliti dari Phylum mengungkapkan bahwa mereka menemukan 451 paket kesalahan ketik yang berbahaya di PyPi yang menginstal malware pencuri kata sandi.
