Koparka kryptowalut w oprogramowaniu, które ma 8 milionów pobrań tygodniowo
W piątek pisaliśmy o atakach na łańcuchy dostaw, a miniony weekend przyniósł nowy przykład. Specjaliści starają się ocenić szkody spowodowane przez złośliwe oprogramowanie do wydobywania kryptowalut osadzone w pakiecie npm (biblioteka JavaScript), który ma blisko 8 milionów pobrań tygodniowo. Pierwszy raz ostrzeżenie pojawiło się na GitHubie, opublikowane jako krytyczne, stwierdzało, że każdy komputer z wbudowanym pakietem npm „powinien być uważany za zagrożony”.
„Pakiet npm ua-parser-js miał trzy wersje opublikowane ze złośliwym kodem. Użytkownicy wersji, których dotyczy problem (0.7.29, 0.8.0, 1.0.0), powinni dokonać aktualizacji tak szybko, jak to możliwe i sprawdzić swoje systemy pod kątem podejrzanej aktywności” – czytamy na GitHubie.
„Każdy komputer, na którym ten pakiet jest zainstalowany lub uruchomiony, należy uznać za w pełni zagrożony. Wszystkie sekrety i klucze przechowywane na tym komputerze powinny zostać natychmiast przeniesione” – ostrzegał GitHub.
„Pakiet powinien zostać usunięty, ale ponieważ pełna kontrola nad komputerem mogła zostać przekazana podmiotowi zewnętrznemu, nie ma gwarancji, że usunięcie pakietu usunie wszelkie złośliwe oprogramowanie wynikające z jego instalacji” – dodała firma.
Problematyczna biblioteka UAParser.js jest bardzo popularna, licząc blisko 8 milionów pobrań tygodniowo, a wśród jej użytkowników znajdują się niektóre z najbardziej rozpoznawalnych nazw technologii – Microsoft, Amazon, Facebook, Apple i Oracle.
Cios w REvil
Globalna walka z oprogramowaniem ransomware przybrała w tym tygodniu nowy obrót, a Stany Zjednoczone przejęły inicjatywę. Organy ścigania włamały się i zakłóciły działania grupy stojącej za cyberatakiem Colonial Pipeline. Najpierw Reuter, a potem liczne portale poinformowały, że serwery Tor powiązane z gangiem ransomware REvil zostały przejęte w ramach operacji opisanej jako „wielonarodowa” akcja hack-back. Działania są kontynuowane i są rozwojowe.
Publiczny blog grupy zajmującej się oprogramowaniem ransomware, który był używany do publikowania wykradzionych informacji został wyłączony. Wiadomość pożegnalna od jednego z operatorów brzmiała: „Serwer został skompromitowany, a oni mnie szukali. Powodzenia wszystkim.”
Badacze śledzący podziemne operacje ransomware potwierdzili zamknięcie REvil, które zostało przeprowadzone przez zagranicznego partnera rządu USA.
Kilka innych konkurencyjnych grup oprogramowania ransomware zareagowało na przejęcie sieci REvil, przenosząc rezerwy kryptowalut, a nawet publicznie narzekając na operację hack-back.
Usunięcie przez REvil zbiegło się w czasie, z działaniami organów USA, które zidentyfikowały około 5,2 miliarda dolarów w wychodzących transakcjach Bitcoin, które są potencjalnie powiązane z płatnościami za oprogramowanie ransomware, głównie na rzecz gangów cyberprzestępczych w Rosji.
Szyfrowanie end-to-end w Teamsach
Nasza ulubiona firma – Microsoft, ogłosiła w tym tygodniu, że organizacje mogą teraz umożliwić swoim pracownikom nawiązywanie indywidualnych połączeń w zespołach chronionych przez szyfrowanie typu end-to-end.
Po raz pierwszy ogłoszono to na imprezie Ignite w marcu, a szyfrowanie end-to-end (E2EE) dla połączeń jeden-do-jednego Teams jest teraz wprowadzane do publicznej wersji. Organizacje mogą skorzystać z nowej funkcji, ale administratorzy IT i użytkownicy będą musieli włączyć ją ręcznie.
W przypadku korzystania z E2EE konwersacje są szyfrowane w sposób uniemożliwiający każdemu, w tym Microsoftowi, ich przechwycenie. Jednak w tym momencie tylko przepływ multimediów w czasie rzeczywistym, który obejmuje dane wideo i głosowe, jest szyfrowany.
E2EE jest dostępne dla aplikacji Teams w systemach Windows, macOS, Android i iOS, a po włączeniu dla konta można z niego korzystać na wszystkich urządzeniach użytkownika. Wskaźnik pełnego szyfrowania jest wyświetlany podczas połączenia, aby użytkownik wiedział, że jego rozmowa jest chroniona.
Jeśli użytkownicy muszą korzystać z funkcji aplikacji Teams, które nie są objęte kompleksowym szyfrowaniem — obejmuje to nagrywanie, napisy na żywo i transkrypcję, przekazywanie i łączenie połączeń oraz połączenia grupowe — muszą tymczasowo wyłączyć E2EE.
Microsoft zauważył, że chociaż E2EE jest obecnie dostępne tylko dla połączeń indywidualnych, inne funkcje, takie jak połączenia grupowe i czaty, są nadal chronione przez szyfrowanie Microsoft 365. Firma planuje dodanie E2EE do spotkań online w przyszłości.