悪意のあるnpmパッケージjs-logger-pack(バージョン1.1.27まで)は進化し、Hugging Faceを二重脅威プラットフォームに変えました。初期ペイロード用のマルウェアCDNであり、現在は盗まれたデータを流出させるためのバックエンドです。
JFrog Securityの研究者がキャンペーンを分析し、残存性を持ち、キーストロークをログに記録し、クリップボードを監視し、攻撃者が管理するHugging Faceデータセットにアーカイブをアップロードするクロスプラットフォーム型の埋め込みを明らかにしました。
SafeDepが指摘した通り、以前のバージョンはバイナリのドロップにHugging Faceを使用していました。新しい機能はC2サーバーからの大量データストレージを外部委託し、Hugging Faceのインフラを活用しています。
Windows、macOS、Linuxに影響を受けたシステムは完全な侵害に直面しており、キーストローク、認証情報、ファイルが流出していると想定されます。
パッケージはおとりと交換によってデプロイされます。dist/index.jsは良性に見えますが、package.jsonのpostinstallスクリプトはnode print.cjsを実行します。これはNodeの子プロセスを分離し、プラットフォーム固有のバイナリを取得して、静かに実行します。
この現在の段階が注目される理由はパッケージングです。ダウンロードされた4つのバイナリは4つの異なるマルウェアファミリーではありません。同じクロスプラットフォーム型の埋め込みが4つのNode.jsシングル実行可能アプリケーション(SEA)コンテナに注入されたものです:
Hugging Faceはライブコントロールプレーンとして機能します。バイナリはチェックなしで更新をポーリングし、流出はC2ストレージの制限をバイパスします。
ラッパーはNode v20.18.2の標準ランタイムです。悪意のあるロジックは注入されたJavaScriptバンドル内に完全に存在します。
つまり、Windowsバイナリはsystemd文字列を含み、LinuxバイナリはWindowsのスケジュール済みタスク文字列を含んでいます。同じクロスプラットフォームのJSがすべてのコンテナに搭載されているためです。
この最終的なペイロードの分析は、私たちが公開する中核となる技術的な追加です。SafeDepによる以前の公開レポートはキャンペーンファミリーと初期段階を文書化していましたが、現在のHugging Face主催の第2段階はこの詳細レベルでは抽出および文書化されていませんでした。
翻訳元: https://cyberpress.org/npm-malware-hijacks-hugging-face/