Lebih dari 1200 Paket NPM Ditemukan Terlibat dalam Kampanye Cryptomining “CuteBoi”

Cryptomining Campaign

Para peneliti telah mengungkapkan kampanye penambangan cryptocurrency skala besar baru yang menargetkan repositori paket JavaScript NPM.

Aktivitas jahat, yang dikaitkan dengan aktor ancaman rantai pasokan perangkat lunak yang dijuluki CuteBoi, melibatkan serangkaian 1.283 modul jahat yang diterbitkan secara otomatis dari lebih dari 1.000 akun pengguna yang berbeda.

“Ini dilakukan menggunakan otomatisasi yang mencakup kemampuan untuk melewati tantangan NPM 2FA,” kata perusahaan pengujian keamanan aplikasi Israel, Checkmarx. “Kluster paket ini tampaknya menjadi bagian dari penyerang yang bereksperimen pada saat ini.”

Semua paket yang dirilis tersebut dikatakan menyimpan kode sumber yang hampir identik dari paket yang sudah ada bernama eazyminer yang digunakan untuk menambang Monero dengan menggunakan sumber daya yang tidak digunakan di server web.

Satu modifikasi penting memerlukan URL ke mana cryptocurrency yang ditambang harus dikirim, meskipun memasang modul jahat tidak akan membawa efek negatif.

Kampanye Penambangan Kripto

“Kode yang disalin dari eazyminer mencakup fungsi penambang yang dimaksudkan untuk dipicu dari dalam program lain dan bukan sebagai alat yang berdiri sendiri,” kata peneliti Aviad Gershon. “Penyerang tidak mengubah fitur kode ini dan karena alasan itu, itu tidak akan berjalan saat instalasi.”

Seperti yang diamati dalam kasus RED-LILI awal tahun ini, paket-paket tersebut diterbitkan melalui teknik otomatisasi yang memungkinkan pelaku ancaman untuk mengalahkan perlindungan otentikasi dua faktor (2FA).

Kampanye Penambangan Kripto

Namun, sementara yang pertama melibatkan pengaturan server khusus dan menggunakan kombinasi alat seperti Selenium dan Interactsh untuk secara terprogram membuat akun pengguna NPM dan mengalahkan 2FA, CuteBoi mengandalkan layanan email sekali pakai yang disebut mail.tm.

Keamanan cyber

Platform gratis ini juga menawarkan REST API, “memungkinkan program untuk membuka kotak surat sekali pakai dan membaca email yang diterima yang dikirim kepada mereka dengan panggilan API sederhana,” memungkinkan aktor ancaman untuk menghindari tantangan 2FA saat membuat akun pengguna.

Related Post :   Peneliti Mengungkap Paket NPM Berbahaya Mencuri Data dari Aplikasi dan Formulir Web

Temuan ini bertepatan dengan serangan rantai pasokan perangkat lunak luas terkait NPM lainnya yang dijuluki IconBurst yang direkayasa untuk mengumpulkan data sensitif dari formulir yang disematkan di aplikasi seluler dan situs web hilir.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.