По сообщению Microsoft, разработчики Next.js снова оказались под прицелом хакеров, которые распространяют вредоносные репозитории, замаскированные под легитимные проекты. Компания заявила, что ограниченное число таких репозиториев было напрямую связано с зафиксированными компрометациями.
Microsoft сообщила, что репозитории используют различные методы для выполнения кода на машинах разработчиков, но все они приводят к одному результату: выполнению вредоносного JavaScript в оперативной памяти.
Все пути выполнения, выявленные исследовательской группой, спроектированы так, чтобы срабатывать в ходе обычной рабочей рутины разработчиков Next.js. Один из них, например, использует автоматизацию рабочего пространства Visual Studio Code для загрузки файлов, как только разработчик открывает проект и доверяет ему.
В этих случаях варианты вредоносного ПО, как правило, извлекают загрузчик JavaScript с Vercel и выполняют его с помощью Node.js, после чего начинают отправлять данные на управляемую злоумышленниками инфраструктуру командно-контрольного центра (C2) для получения дальнейших указаний.
Другие пути включают запуск разработчиками целевого проекта сервера разработки либо напрямую, либо через npm run dev, где вредоносная логика, внедренная в троянизированные ресурсы или измененные библиотеки (например, измененные фронтенд-файлы), извлекает и выполняет загрузчик. Другие методы полагаются на то, что жертвы запускают бэкенд приложения, активируя предварительно загруженную логику, скрытую в бэкенд-модулях во время инициализации сервера или импорта модуля.
Независимо от выбранного пути, конечный результат всегда один: регистрация скомпрометированного устройства, запуск загрузчика JavaScript и установление соединения с инфраструктурой C2 злоумышленника.
Используя отдельный IP-адрес C2 и набор API, переданный на начальном этапе, контроллер извлекает массив задач JavaScript messages[] и выполняет их в памяти с помощью отдельного интерпретатора Node, чтобы уменьшить количество артефактов на диске.
Этот процесс также позволяет осуществлять эксфильтрацию данных. На машинах разработчиков это может быть что угодно: от личных данных до исходного кода, секретов или облачных ресурсов.
Microsoft сообщила, что контроллер способен ротировать свои идентификаторы для предотвращения обнаружения антивирусными решениями и защитниками-людьми паттернов подозрительной активности, помимо получения инструкций от злоумышленника.
Контроллер также подчиняется командам “kill-switch” или “shutdown”, отслеживает порождаемые им процессы, чтобы жертва не заподозрила неладное из-за проблем с производительностью, и сообщает телеметрию об ошибках, позволяя злоумышленникам корректировать команды, которые не сработали.
Проекты распространяются злоумышленниками под видом заданий, используемых в рамках процесса найма, требующих от разработчиков выполнения задач, связанных с подачей заявок на работу.
И хотя трудно представить, что целевые разработчики будут выполнять эти оценочные задания на корпоративных машинах, Microsoft предупредила, что это может подвергнуть организацию более широкой компрометации.
В заключение компания добавила: “Главный вывод заключается в том, что защитники должны рассматривать рабочие процессы разработчиков как основную поверхность атаки и уделять первоочередное внимание видимостью необычного выполнения Node, неожиданных исходящих соединений, а также последующего обнаружения или загрузки данных, исходящих с машин разработки”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
