Säkerhetsforskare har upptäckt en leverantörskedjeattack med falska Paysafe-SDK på både npm och PyPI. De skadliga paketen utgav sig för att vara officiella utvecklingsverktyg för Paysafe, Skrill och Neteller. I själva verket stal de inloggningsuppgifter, API-nycklar och åtkomsttoken från utvecklare.
Kampanjen riktade sig mot utvecklare som bygger betalningsintegrationer och visar att skadliga paket i öppen källkod fortfarande utgör ett allvarligt hot.
Skadliga paket riktade in sig på utvecklare av betalningslösningar
Applikationssäkerhetsföretaget Socket identifierade 17 skadliga paket som distribuerades via Node Package Manager (npm) och Python Package Index (PyPI).
Angriparen publicerade paket som såg ut att vara officiella SDK för Paysafe och företagets betalningsplattformar, däribland Skrill och Neteller.
De berörda paketen omfattar:
npm
- paysafe-checkout
- paysafe-vault
- neteller
- skrill-payments
- paysafe-js
- paysafe-api
- paysafe-node
- paysafe-cards
- paysafe-fraud
- paysafe-kyc
- skrill
- skrill-sdk
- paysafe-payments
PyPI
- paysafe-kyc
- paysafe-payments
- paysafe-sdk
- paysafe-api
Enligt Socket publicerade angriparen fyra skadliga versioner av npm-paketen, från version 1.0.0 till 1.0.3. Varje PyPI-paket innehöll en skadlig version med nummer 1.0.0.
Falska Paysafe-SDK gav falska lyckade svar
De falska Paysafe-SDK efterliknade de riktiga betalningsbiblioteken genom att exponera de API som utvecklarna förväntade sig.
I stället för att kommunicera med Paysafes backend returnerade paketen falska lyckade svar. Programvaran verkade därför fungera normalt samtidigt som dold skadlig kod kördes i bakgrunden.
Det huvudsakliga syftet var att stjäla känsliga inloggningsuppgifter från infekterade system.
Skadlig kod stal API-nycklar, lösenord och token
Den inbyggda skadliga koden sökte igenom komprometterade system efter värdefulla uppgifter innan informationen skickades till en kommando- och kontrollserver hos Amazon Web Services (AWS).
Socket uppger att följande information kunde stjälas:
- Paysafe API-nycklar
- AWS-åtkomstnycklar
- GitHub-token
- npm-autentiseringstoken
- Lösenord
- Värdnamn
- Användarnamn
- Metadata om API-användning
Den skadliga koden i npm-paketen försökte bara stjäla data när den hittade en Paysafe API-nyckel. Den aktiverades först när en applikation anropade den falska SDK.
PyPI-versionerna fungerade annorlunda. De startade automatiskt rutinen för att stjäla inloggningsuppgifter redan vid initieringen och behövde inte hitta någon Paysafe API-nyckel för att börja samla in data.
Skadlig kod innehöll enkla skydd mot analys
Angriparna lade också till grundläggande funktioner för att försvåra säkerhetsanalyser.
Den skadliga koden avslutade körningen om den upptäckte färre än två processorkärnor eller identifierade användarnamn eller värdnamn som ofta förekommer i virtuella maskiner eller sandlådemiljöer.
Teknikerna var relativt enkla, men de visar att angriparen försökte göra paketen svårare att analysera.
Angripare kan rikta in sig på fler ekosystem
Socket har ännu inte identifierat gruppen bakom kampanjen.
Forskarna bedömer däremot att angriparen har tillräcklig teknisk kompetens för att genomföra liknande attacker i framtiden.
Eftersom kampanjen riktade sig mot både npm och PyPI samtidigt kan försvarare få svårare att upptäcka hoten om de bara övervakar ett av ekosystemen.
Utvecklare bör byta alla inloggningsuppgifter omedelbart
Den som installerat någon av de falska Paysafe-SDK bör utgå från att inloggningsuppgifterna har komprometterats.
Socket rekommenderar att berörda utvecklare:
- Byter alla API-nycklar, lösenord och åtkomsttoken omedelbart.
- Söker igenom beroendeträden efter samtliga skadliga paketnamn.
- Blockerar paketen på registret eller proxynivå.
- Granskar loggar från Continuous Integration (CI) efter referenser till PAYSAFE_API_KEY tillsammans med något av de skadliga paketnamnen.
Händelsen visar ännu en gång att attacker mot mjukvarans leverantörskedja fortsätter att utvecklas. Även paket som ser ut som betrodda SDK kan innebära allvarliga säkerhetsrisker om utvecklare installerar dem utan att först kontrollera att de är äkta.


0 svar till ”Falska Paysafe-SDK:er på npm och PyPI stjäl utvecklares inloggningsuppgifter”