Posted on

[ad_1]

Para peneliti menemukan bahwa versi Axios yang disusupi memasang Trojan Akses Jarak Jauh.

Axios adalah Klien HTTP berbasis janji untuk node.js, pada dasarnya adalah alat pembantu yang digunakan pengembang di belakang layar untuk memungkinkan aplikasi berkomunikasi dengan internet. Misalnya, Axios membuat permintaan seperti “dapatkan pesan saya dari server” atau “kirim formulir ini ke situs web” menjadi lebih mudah dan lebih dapat diandalkan bagi pemrogram serta menyelamatkan mereka dari keharusan menulis sendiri banyak kode jaringan tingkat rendah.

Karena ini berfungsi baik di browser maupun di server (Node.js), banyak proyek berbasis JavaScript modern menyertakannya sebagai blok penyusun standar. Meskipun Anda sendiri tidak pernah menginstal Axios, Anda mungkin mengalaminya secara tidak langsung saat:

  • Gunakan aplikasi web yang dibuat dengan kerangka kerja seperti React, Vue, atau Angular.
  • Gunakan aplikasi seluler atau aplikasi desktop yang dibuat dengan teknologi web seperti Electron, React Native, dan lainnya.
  • Kunjungi alat Software-as-a-Service (SaaS) yang lebih kecil, panel admin, atau layanan yang dihosting sendiri yang dibuat oleh pengembang yang memilih Axios.

Anda bisa membandingkannya dengan pipa ledeng di rumah Anda. Biasanya Anda tidak memperhatikan pipa-pipa tersebut, tetapi pipa-pipa tersebut membawa air ke tempat Anda membuka keran. Dan Anda tidak perlu mengetahui di mana mereka berada sampai terjadi kebocoran.

Apa yang telah terjadi?

Dengan menggunakan kredensial yang dikompromikan dari pengelola utama Axios, seorang penyerang menerbitkan paket beracun ke npm: axios@1.14.1 Dan axios@0.30.4. Versi jahat menyuntikkan ketergantungan baru, plain-crypto-js@4.2.1yang tidak pernah diimpor ke mana pun dalam kode sumber axios.

Bersama-sama, kedua paket yang terkena dampak mencapai hingga 100 juta unduhan mingguan di npm, yang berarti paket tersebut memiliki radius dampak yang sangat besar di seluruh aplikasi web, layanan, dan saluran pipa.

Penting untuk diperhatikan bahwa versi Axios yang terpengaruh tidak muncul di tag GitHub resmi proyek. Ini berarti bahwa orang-orang dan proyek yang terkena dampak adalah pengembang dan lingkungan yang menjalankan npm install yang memutuskan untuk:

  • axios@1.14.1 atau axios@0.30.4atau
  • ketergantungan plain-crypto-js@4.2.1.

Alur kerja apa pun yang menginstal salah satu versi tersebut dengan skrip diaktifkan mungkin telah mengekspos semua rahasia yang disuntikkan (kunci cloud, kunci penerapan repo, token npm, dll.) kepada penyerang interaktif, karena skrip pasca-instal (node ​​setup.js) yang berjalan secara otomatis di npm install mengunduh dropper yang dikaburkan yang mengambil payload RAT khusus platform untuk macOS, Windows, atau Linux.

Jika Anda adalah pengembang yang menerapkan Axios, perlakukan mesin apa pun yang menginstal versi buruk sebagai mesin yang berpotensi disusupi sepenuhnya dan putar rahasia. Penyerang mungkin telah memperoleh akses repo, kunci penandatanganan, kunci API, atau rahasia lainnya yang dapat digunakan untuk melakukan backdoor pada rilis mendatang atau menyerang backend dan pengguna Anda.

Aplikasi pengguna yang dibuat dengan Axios tidak memiliki alasan langsung untuk khawatir. Jika Anda hanya memuat aplikasi di browser, Anda tidak langsung menjalankan RAT ini melalui Axios. Jalur infeksi adalah langkah pemasangan/pembuatan, bukan waktu proses aplikasi.

Indikator Kompromi (IOC)

Seperti yang ditunjukkan oleh para peneliti, penetes malware akan membersihkan dirinya sendiri:

“Setiap pemeriksaan pasca-infeksi node_modules/plain-crypto-js/package.json akan menunjukkan manifes yang benar-benar bersih. Tidak ada skrip pasca-instal, tidak ada file setup.js, dan tidak ada indikasi bahwa ada sesuatu yang berbahaya yang pernah diinstal. Menjalankan npm audit atau meninjau secara manual direktori paket yang diinstal tidak akan mengungkapkan kompromi.”

Maka yang dapat Anda cari adalah IOC berikut:

Domain: sfrclak[.]com

Alamat IP: 142.11.206.73

(keduanya diblokir oleh produk Malwarebytes)

File:

  • macOS: /Library/Caches/com.apple.act.mond
  • Linux: /tmp/ld.py
  • Windows: %PROGRAMDATA%\wt dan %TEMP%\6202033.vbs/.ps1 yang hanya ada sebentar selama eksekusi

Paket npm berbahaya:

aksio@1.14.1 checksum sha-256: 2553649f2322049666871cea80a5d0d6adc700ca

aksio@0.30.4 checksum sha-256: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

polos-crypto-js@4.2.1 checksum sha-256: 07d889e2dadce6f3910dcbc253317d28ca61c766

Kami tidak hanya melaporkan ancaman—kami menghapusnya

Risiko keamanan siber tidak boleh menyebar melebihi berita utama. Jauhkan ancaman dari perangkat Anda dengan mengunduh Malwarebytes sekarang.

[ad_2]

By: admin

Leave a Reply

Your email address will not be published. Required fields are marked *