Hamis csomagok az MI árnyékában
A PhantomRaven-támadás során több csomag is látszólag megbízható projekteket utánoz: GitLab- vagy Apache-eszközöknek adják ki magukat. Sok ilyen csomag mesterségesintelligencia-generált ajánlások miatt jött létre, amikor a fejlesztők AI-asszisztenst kérdeztek csomagtippekről, az MI pedig nem létező, de hihető csomagneveket javasolt. Ezek közül számos csomag jelenleg is elérhető az npm-en.
Láthatatlan támadási módszerek
Az új támadási hullám innovatív megoldásokat használ: a csomagok telepítéskor semmilyen hivatalos függőséget nem mutatnak, de automatikusan külső oldalakról töltik le és futtatják a rosszindulatú kódot. Ez a módszer lehetővé teszi, hogy a támadók könnyen kijátsszák a statikus elemzéseket. A rosszindulatú kód felméri az áldozat gépét, levadássza a környezeti változókban tárolt e-mail-címeket, és megszerzi az npm-, GitHub Actions-, GitLab-, Jenkins-, valamint CircleCI-tokeneket, amelyekkel további fertőzéseket és támadásokat indíthatnak.
Ne dőlj be az MI-nek!
A PhantomRaven irányítói profi adatlopó módszereket használnak: HTTP GET és POST kérésekben, valamint WebSocket-kapcsolatokon keresztül szivárogtatják ki az információkat. A Koi Security szerint a fejlesztők csak megbízható forrásból származó, ellenőrizhető csomagokat telepítsenek, és soha ne fogadják el gondolkodás nélkül az MI által ajánlott csomagokat. Az elemzés teljes listát adott a veszélyes csomagokról és a kompromittált infrastruktúráról.
