В последние месяцы два банка стали мишенью атак на цепочку поставок открытого ПО (open source), что стало первыми подобными инцидентами такого рода.
По данным аналитиков Checkmarx, в ходе отдельных кампаний в феврале и апреле злоумышленники загрузили пакеты с вредоносными скриптами на платформу программного обеспечения с открытым исходным кодом npm.
В ходе одной из атак хакер разместил несколько зараженных пакетов со сценариями внутри, которые идентифицировали операционную систему жертвы. В зависимости от того, была ли это Windows, Linux или MacOS, сценарий декодировал другие зашифрованные файлы в пакете. Затем эти файлы использовались для загрузки вредоносного кода на целевой компьютер.
Злоумышленник, загрузивший пакеты, создал поддельную страницу LinkedIn*, на которой он выдавал себя за сотрудника целевого банка. Из-за этого исследователи Checkmarx подумали, что банк может проводить тестирование на проникновение, но в банке заявили, что загруженные npm-пакеты никак не относятся к организации. Хакер также создал индивидуальные серверы управления и контроля (Command and Control, C2) для каждой цели.
В другом инциденте злоумышленник внедрил вредоносный код на страницу входа в онлайн-банк. Полезная нагрузка показала, что киберпреступник определил уникальный идентификатор элемента в HTML-коде страницы входа и разработал свой код для фиксации определенного элемента формы входа, скрытно перехватывая и эксфильтруя данные входа.
Вредоносные пакеты были удалены после их обнаружения исследователями, но эксперты Checkmarx ожидают «устойчивой тенденции атак на цепочку поставок ПО банковского сектора».