Sikkerhetsforskere har avdekket et leverandørkjedeangrep som involverer falske Paysafe-SDK-er publisert på både npm og PyPI. De ondsinnede pakkene utga seg for å være legitime programvareutviklingssett for Paysafe, Skrill og Neteller, samtidig som de i hemmelighet stjal legitimasjonsopplysninger, API-nøkler og tilgangstokener fra utviklere.
Kampanjen rettet seg mot utviklere som bygger betalingsintegrasjoner, og viser at ondsinnede pakker i åpen kildekode fortsatt utgjør en betydelig trussel.
Ondsinnede pakker rettet seg mot utviklere av betalingsløsninger
Applikasjonssikkerhetsselskapet Socket identifiserte 17 ondsinnede pakker distribuert gjennom Node Package Manager (npm) og Python Package Index (PyPI).
Angriperen publiserte pakker som fremsto som offisielle SDK-er for Paysafe og selskapets betalingsplattformer, blant annet Skrill og Neteller.
De berørte pakkene omfatter:
npm
- paysafe-checkout
- paysafe-vault
- neteller
- skrill-payments
- paysafe-js
- paysafe-api
- paysafe-node
- paysafe-cards
- paysafe-fraud
- paysafe-kyc
- skrill
- skrill-sdk
- paysafe-payments
PyPI
- paysafe-kyc
- paysafe-payments
- paysafe-sdk
- paysafe-api
Ifølge Socket publiserte angriperen fire ondsinnede versjoner av npm-pakkene, fra versjon 1.0.0 til 1.0.3. Hver PyPI-pakke inneholdt én ondsinnet versjon, 1.0.0.
Falske Paysafe-SDK-er returnerte falske suksessmeldinger
De falske Paysafe-SDK-ene etterlignet de ekte betalingsbibliotekene ved å eksponere de forventede API-ene.
I stedet for å kommunisere med Paysafes backend returnerte pakkene falske suksessmeldinger. Programvaren så dermed ut til å fungere normalt samtidig som skjult skadevare kjørte i bakgrunnen.
Hovedformålet var å stjele sensitive legitimasjonsopplysninger fra infiserte systemer.
Skadevaren stjal API-nøkler, passord og tokener
Den innebygde skadevaren søkte gjennom kompromitterte miljøer etter verdifulle hemmeligheter før informasjonen ble sendt til en kommando- og kontrollserver hos Amazon Web Services (AWS).
Socket opplyser at den stjålne informasjonen kan omfatte:
- Paysafe API-nøkler
- AWS-tilgangsnøkler
- GitHub-tokener
- npm-autentiseringstokener
- Passord
- Vertsnavn
- Brukernavn
- Metadata om API-bruk
Skadevaren i npm-pakkene forsøkte bare å hente ut data når den oppdaget en Paysafe API-nøkkel. Den ble aktivert først når en applikasjon kalte den falske SDK-en.
PyPI-versjonene oppførte seg annerledes. De startet automatisk rutinen for tyveri av legitimasjonsopplysninger under initialisering og trengte ikke en Paysafe API-nøkkel for å begynne å samle inn data.
Skadevaren inneholdt enkle funksjoner mot analyse
Angriperne la også inn grunnleggende teknikker for å gjøre sikkerhetsanalyser vanskeligere.
Skadevaren avsluttet kjøringen dersom den oppdaget færre enn to CPU-kjerner eller fant vertsnavn eller brukernavn som ofte forbindes med virtuelle maskiner eller sandkassemiljøer.
Teknikkene var enkle, men de viser at angriperne forsøkte å gjøre de ondsinnede pakkene vanskeligere å analysere.
Angriperne kan utvide til andre økosystemer
Socket har foreløpig ikke identifisert gruppen bak kampanjen.
Forskerne mener likevel at angriperen har tilstrekkelig teknisk kompetanse til å gjennomføre lignende operasjoner i fremtiden.
Siden kampanjen rammet både npm og PyPI samtidig, kan forsvarere få større utfordringer dersom de bare overvåker ett av programvareøkosystemene.
Utviklere bør bytte legitimasjonsopplysninger umiddelbart
Alle som har installert en av de falske Paysafe-SDK-ene, bør gå ut fra at legitimasjonsopplysningene er kompromittert.
Socket anbefaler at berørte utviklere:
- Bytter alle API-nøkler, passord og tilgangstokener umiddelbart.
- Søker gjennom avhengighetstrær etter alle de ondsinnede pakkenavnene.
- Blokkerer pakkene på register- eller proxynivå.
- Går gjennom logger fra Continuous Integration (CI) etter referanser til PAYSAFE_API_KEY sammen med navnene på de ondsinnede pakkene.
Hendelsen viser nok en gang at angrep mot programvareforsyningskjeden fortsetter å utvikle seg. Selv pakker som ser ut som pålitelige SDK-er, kan utgjøre en alvorlig sikkerhetsrisiko dersom utviklere installerer dem uten å kontrollere at de er ekte.


0 responses to “Falske Paysafe-SDK-er på npm og PyPI stjeler utvikleres legitimasjonsopplysninger”