Sikkerhedsforskere har afsløret et supply chain-angreb med falske Paysafe-SDK’er, som blev offentliggjort på både npm og PyPI. De ondsindede pakker udgav sig for at være officielle softwareudviklingskits til Paysafe, Skrill og Neteller, mens de i hemmelighed stjal legitimationsoplysninger, API-nøgler og adgangstokens fra udviklere.

Kampagnen rettede sig mod udviklere, der bygger betalingsintegrationer, og understreger den fortsatte trussel fra ondsindede open source-pakker.

Ondsindede pakker ramte udviklere af betalingsløsninger

Applikationssikkerhedsvirksomheden Socket identificerede 17 ondsindede pakker, som blev distribueret via Node Package Manager (npm) og Python Package Index (PyPI).

Angriberen offentliggjorde pakker, der fremstod som officielle SDK’er til Paysafe og virksomhedens betalingsplatforme, herunder Skrill og Neteller.

De berørte pakker omfatter:

npm

  • paysafe-checkout
  • paysafe-vault
  • neteller
  • skrill-payments
  • paysafe-js
  • paysafe-api
  • paysafe-node
  • paysafe-cards
  • paysafe-fraud
  • paysafe-kyc
  • skrill
  • skrill-sdk
  • paysafe-payments

PyPI

  • paysafe-kyc
  • paysafe-payments
  • paysafe-sdk
  • paysafe-api

Ifølge Socket offentliggjorde angriberen fire ondsindede versioner af npm-pakkerne fra version 1.0.0 til 1.0.3. Hver PyPI-pakke indeholdt én ondsindet version, nemlig 1.0.0.

Falske Paysafe-SDK’er returnerede falske succesbeskeder

De falske Paysafe-SDK’er efterlignede de rigtige betalingsbiblioteker ved at eksponere de forventede API’er.

I stedet for at kommunikere med Paysafes backend returnerede pakkerne falske succesbeskeder. Softwaren så derfor ud til at fungere normalt, mens skjult ondsindet kode blev eksekveret i baggrunden.

Det primære formål var at stjæle følsomme legitimationsoplysninger fra kompromitterede systemer.

Malwaren stjal API-nøgler, adgangskoder og tokens

Den indbyggede malware gennemsøgte kompromitterede miljøer for værdifulde oplysninger, før dataene blev sendt til en kommando- og kontrolserver hos Amazon Web Services (AWS).

Socket oplyser, at de stjålne oplysninger kan omfatte:

  • Paysafe API-nøgler
  • AWS-adgangsnøgler
  • GitHub-tokens
  • npm-godkendelsestokens
  • Adgangskoder
  • Værtsnavne
  • Brugernavne
  • Metadata om API-anvendelse

Malwaren i npm-pakkerne forsøgte kun at stjæle data, når den fandt en Paysafe API-nøgle. Den blev først aktiveret, når en applikation kaldte det falske SDK.

PyPI-versionerne fungerede anderledes. De startede automatisk rutinen til tyveri af legitimationsoplysninger under initialiseringen og krævede ikke en Paysafe API-nøgle for at begynde at stjæle data.

Malwaren indeholdt enkle anti-analysefunktioner

Angriberne tilføjede også enkle teknikker for at gøre sikkerhedsanalyser vanskeligere.

Malwaren stoppede med at køre, hvis den registrerede færre end to CPU-kerner eller opdagede værtsnavne eller brugernavne, som typisk forbindes med virtuelle maskiner eller sandkassemiljøer.

Teknikkerne var forholdsvis enkle, men de viser, at angriberne forsøgte at gøre de ondsindede pakker sværere at analysere.

Angriberne kan udvide til andre økosystemer

Socket har endnu ikke identificeret gruppen bag kampagnen.

Forskerne vurderer dog, at angriberen har de tekniske kompetencer til at gennemføre lignende operationer i fremtiden.

Da kampagnen ramte både npm og PyPI samtidig, kan forsvarere få sværere ved at opdage lignende angreb, hvis de kun overvåger ét softwareøkosystem.

Udviklere bør straks udskifte deres legitimationsoplysninger

Alle, der har installeret et af de falske Paysafe-SDK’er, bør gå ud fra, at deres legitimationsoplysninger er kompromitteret.

Socket anbefaler, at berørte udviklere:

  • Udskifter alle API-nøgler, adgangskoder og adgangstokens med det samme.
  • Gennemgår afhængighedstræer for alle de ondsindede pakkenavne.
  • Blokerer pakkerne på registrerings- eller proxyniveau.
  • Gennemgår Continuous Integration (CI)-logfiler for henvisninger til PAYSAFE_API_KEY sammen med navnene på de ondsindede pakker.

Hændelsen viser endnu en gang, at angreb mod softwareforsyningskæden fortsætter med at udvikle sig. Selv pakker, der ligner pålidelige SDK’er, kan udgøre en alvorlig sikkerhedsrisiko, hvis udviklere installerer dem uden først at kontrollere deres ægthed.


0 svar til “Falske Paysafe-SDK’er på npm og PyPI stjæler udvikleres legitimationsoplysninger”