Хакеры крадут пароли к компьютерам на Linux, пользуясь «дырами» в приложениях Amazon, Lyft и Slack

Злоумышленники пытаются эксплуатировать уязвимость «подмены зависимостей» для кражи паролей в Linux/Unix и установки обратных шеллов. Злоумышленники крадут файлы с паролями к системам Linux/Unix и открывают так называемые обратные шеллы (командные оболочки), эксплуатируя уязвимости в приложениях Amazon, Zillow, Lyft и Slack NodeJS.
Атака, получившая название «подмена зависимостей» (Dependency Confusion), позволяет злоумышленникам встраивать свой собственный вредоносный код во внутренние приложения атакуемых компаний, просто подменив внешние компоненты, используемые при сборке приложения.
Однако похоже, что злоумышленники все-таки решили взять ее на вооружение: сотрудники компании Sonatype обнаружили целый ряд вредоносных пакетов под наименованиями amzn, zg-rentals, lyft-dataset-sdk, serverless-slack-app. Внутри оказались названия, похожие или идентичные названиям легитимных проектов в GitHub и других репозиториях.
Судя по содержанию этих пакетов, целью злоумышленников является кража файлов с паролями (/etc/shadows) и создание бэкдоров, точнее, обратных шеллов. Некоторые пытаются выкачать и отправить на удаленный хост файлы .bash_history, содержащие пользовательские профили и историю команд, введенных в командной оболочке (шелле). Кража .bash_history — распространенный метод сбора паролей к чужим системам.
Характерно, что в качестве шаблона злоумышленники использовали именно экспериментальный эксплойт Бёрсана, но с добавлением вредоносного содержания.
Отметим, ранее корпорация Microsoft опубликовала документ с рекомендациями по защите пакетов от попыток подмены сторонних компонентов. Sonatype, со своей стороны, выпустила специальный скрипт для пользователей Nexus Repository Manager, который позволяет проверять зависимости и сопоставлять названия компонентов в приватных ресурсах с теми, которые выложены в публичных репозиториях.
Подробнее на сайте: https://safe.cnews.ru/news/top/2021-03-03_hakery_kradut_paroli_k_linuxsistemam