Quando gli aggressori hanno avvelenato i pacchetti npm la scorsa settimana, il settore si è affrettato ad analizzare come è successo e quale codice è stato iniettato. Ma l'exploit in sé non è la storia completa.
Che il punto d'ingresso sia un manutentore malintenzionato, una dipendenza illecita o un fornitore di terze parti, la compromissione iniziale è solo il primo passo. Quello che viene dopo è altrettanto importante. Una volta che il codice dannoso viene eseguito all'interno dell'ambiente, gli aggressori utilizzano l'accesso per spostarsi lateralmente, aumentare i privilegi, esfiltrare i dati o preparare il terreno per il ransomware.
Per i team SOC, individuare il codice avvelenato è importante, ma altrettanto critico è rilevare i comportamenti degli aggressori che seguono una volta che il codice dannoso è in esecuzione.
Come si è svolto l'exploit di npm
Il recente exploit non deriva da una vulnerabilità di npm stesso. È invece iniziato con un classico caso di ingegneria sociale. Gli aggressori hanno inviato un'e-mail phishing a popolari manutentori di npm, spacciandosi per supporto ufficiale e invitandoli a "riconvalidare" i loro account. Un manutentore, responsabile di diversi pacchetti ampiamente utilizzati, ha inserito sia le credenziali che un codice 2FA una tantum nel falso portale dell'aggressore. Questo ha dato agli aggressori il pieno controllo dell'account, nonostante l'autenticazione a due fattori fosse abilitata.
Con l'accesso in mano, l'attore della minaccia ha pubblicato rapidamente nuove versioni di pacchetti affidabili come chalk, debug, supports-color e altri. Questi pacchetti sono elementi fondamentali per innumerevoli applicazioni, scaricate miliardi di volte ogni settimana. Gli aggiornamenti compromessi contenevano JavaScript offuscato progettato per essere eseguito all'interno dei browser web.
Il payload dannoso ha agito come un attacco man-in-the-browser. Si agganciava alle API del browser, monitorava le richieste di rete e intercettava le transazioni dei portafogli di criptovalute. Se un utente tentava di inviare criptovaluta, il malware scambiava silenziosamente l'indirizzo del destinatario con uno controllato dall'aggressore. Il risultato finale è stato il furto di fondi, mentre la transazione sembrava normale per la vittima.
Sebbene le versioni dannose siano state disponibili solo per un breve periodo, la portata dell'utilizzo delle dipendenze di npm ha fatto sì che l'impatto si diffondesse rapidamente. I sistemi di compilazione automatica nelle pipeline CI/CD hanno inserito quasi immediatamente gli aggiornamenti contaminati, costringendo migliaia di sviluppatori e di organizzazioni a entrare in modalità di risposta agli incidenti.
Dall'exploit all'esecuzione: Perché il primo passo non definisce l'attacco
Nel caso di npm, il codice iniettato era stato messo a punto per dirottare le transazioni di criptovaluta. Ma questo obiettivo ristretto non significa che il rischio sia limitato. Una volta che il codice dannoso viene eseguito all'interno di un ambiente, gli aggressori possono fare molto di più che scambiare gli indirizzi dei portafogli.
Con lo stesso livello di accesso, potrebbero:
- Rubare le credenziali e aumentare i privilegi.
- Spostarsi lateralmente verso il cloud e i sistemi di identità.
- Creare la persistenza attraverso regole per le caselle di posta, app OAuth o account ridondanti.
- Esfiltrare i dati o mettere in scena un ransomware.
Attori di minacce come Scattered Spider dimostrano la rapidità con cui l'accesso può essere utilizzato come arma: penetrando nelle piattaforme cloud e SaaS, manipolando le autorizzazioni delle caselle di posta, creando relazioni di fiducia backdoor e sondando i carichi di lavoro critici. Da qui, gli aggressori si spostano lateralmente per raggiungere i dati sensibili ed esfiltrare i dati. Questo è il vero pericolo a cui i team SOC devono prepararsi: non solo l'impianto, ma anche la cascata di comportamenti degli aggressori che seguono.
Perché i team SOC dovrebbero preoccuparsi
Per i team SOC, l'exploit di npm ricorda che le compromissioni della supply chain non riguardano solo gli sviluppatori. Gli strumenti di prevenzione e le scansioni SCA svolgono un ruolo importante nell'identificare i pacchetti vulnerabili o dannosi, ma si fermano al punto di analisi del codice. Ciò che non possono fornire è la visibilità del modo in cui gli aggressori utilizzano l'accesso una volta che il codice avvelenato è in esecuzione.
Questa responsabilità spetta al SOC. La sfida non è solo quella di capire che si è verificata una compromissione, ma anche di rilevare come questa modifichi i flussi di lavoro degli aggressori nel vostro ambiente. Ciò significa osservare i comportamenti che gli strumenti di prevenzione non rilevano: persistenza nei sistemi di identità, credenziali abusate per accedere a piattaforme SaaS e cloud o attività di rete che segnalano lo stoccaggio e l'esfiltrazione dei dati.
Che il punto di ingresso sia npm, PyPI, 3CX, MOVEit o il prossimo fornitore di terze parti, l 'exploit è solo l'inizio. L'impatto è determinato dalla rapidità con cui si riesce a far emergere e a rispondere ai comportamenti che si manifestano successivamente.
Colmare il divario di sicurezza con Vectra AI
L'exploit di npm mostra come la fiducia nelle catene di fornitura del software possa essere rapidamente rivoltata contro di voi. Anche se l'obiettivo iniziale era il furto di criptovalute, lo stesso accesso avrebbe potuto essere utilizzato per rubare credenziali, aumentare i privilegi o esfiltrare dati. Ecco perché i team SOC hanno bisogno di difese che non si limitino ad analizzare il codice, ma osservino continuamente il comportamento degli aggressori una volta entrati.
La PiattaformaVectra AI fornisce questa visibilità. Monitorando l 'identità, la rete e gli ambienti cloud in tempo reale, Vectra AI rileva i comportamenti su cui gli avversari si basano per espandere la propria posizione e raggiungere i propri obiettivi. Sia che il codice dannoso arrivi attraverso un pacchetto avvelenato, un phish di un account SaaS o un provider di terze parti compromesso, Vectra AI fa emergere le azioni dell'attaccante e fornisce ai team SOC il contesto per rispondere prima che il danno si aggravi.
Esplorate la nostra demo autoguidata per vedere come Vectra AI colma il divario e garantisce che quando la prevenzione fallisce, il rilevamento e la risposta sono pronti.