Popularni npm paket art-template kompromitovan u napadu na iOS korisnike
Kompromitovan npm paket art-template korišćen za isporuku iOS exploit kita na web preglednike milijardi korisnika.
Šta se desilo?
Napadači su preuzeli kontrolu nad široko korišćenim JavaScript paketom art-template na npm registru i ubacili maliciozni kod namenjen za napad na korisnike Apple uređaja. Kompromitovane verzije paketa (4.13.3 do 4.13.6) su iskorišćene kao vozilo za isporuku iOS exploit kita poznatog kao Coruna, što predstavlja sofisticiran lanac napada preko lanca snabdevanja.
Koga pogađa?
U riziku su korisnici iOS uređaja sa verzijom sistema između 11.0 i 17.2 koji posetе web aplikacije koje koriste kompromitovane verzije art-template paketa. Direktno su ugroženi razvojni timovi - njihove web stranice su postale nehotični vektori napada za njihove korisnike. Napadač je precizno ciljao iOS Safari pretraživač i izbegavao ostale platforme.
Kako se zaštititi?
- Odmah proverite verziju art-template paketa u svim projektima i zavisnostima
- Ukoliko koristite verzije 4.13.3, 4.13.5 ili 4.13.6, ažurirajte na sigurnu verziju (stariju od 4.13.3 ili noviju verziju kada bude dostupna)
- Pregledajte izgrađene JavaScript fajlove (bundle) u potrazi za neočekivanim učitavačima skripti ili pozivima ka sumnjivim domenama
- Analizirajte mrežni saobracaj iz JavaScript okruženja i tražite konekcije ka poznatim malicioznim domenama
- Izvršite bezbedonosni audit svih web aplikacija koje su korišćene sa pogođenim verzijama
Tehnički detalji
Exploit framework ciljano aktivira samo na Safari pregledniku na iOS 11.0-17.2, sa oštrim graničnikom na iOS 17.3 koji se poklapa sa zakrpom za CVE-2024-23222 - WebKit ranjivost. Implant vrši pet slojeva anti-bot provera, uključujući MathML testove i WebAssembly proof-of-work izazove, zatim šalje IP adresu žrtve, verziju iOS-a i kod kampanje na C2 server svakih deset sekundi. Paket injekcije se prilagođava verziji iOS sistema, sa različitim payload modulima za svaki verzijski opseg. Korišćene su sledeće maliciozne domene i IoC indikatori: v3.jiathis[.]com (host sa spoljašnjom skriptom), utaq[.]cfww[.]shop (watering hole domena), l1ewsu3yjkqeroy[.]xyz (C2 server), i git.youzzjizz[.]com (stari loader). Kompromitovani fajl u paketu je lib/template-web.js.
Preporuka Sajber Radara
Hitno ažurirajte art-template paket u svim proizvodnim okruženjima i pregledajte sve web aplikacije na neočekivane skripte ili mrežne konekcije. Uključite art-template u redovne sigurnosne provere lanca snabdevanja kako biste sprečili budući kompromitovanje kritičnih zavisnosti.