Er is een geval van een aanval op de toeleveringsketen van software waargenomen in de Rust-programmeertaal krat register dat gebruikmaakte van typosquatting-technieken om een malafide bibliotheek met malware te publiceren.
Cybersecuritybedrijf SentinelOne noemde de aanval “KratDepressie.”
Typosquatting-aanvallen spelen zich af wanneer een tegenstander de naam van een populair pakket in een openbaar register nabootst in de hoop dat ontwikkelaars per ongeluk het schadelijke pakket zullen downloaden in plaats van de legitieme bibliotheek.
In dit geval is de krat in kwestie “rustdecimaal”, een typosquat van de echte “rust_decimaal” pakket dat tot nu toe meer dan 3,5 miljoen keer is gedownload. Het pakket was gemarkeerd eerder deze maand op 3 mei door Askar Safin, een in Moskou gevestigde ontwikkelaar.
volgens an adviserend gepubliceerd door de Rust-beheerders, zou de kist voor het eerst zijn gepusht op 25 maart 2022, waardoor minder dan 500 downloads werden aangetrokken voordat deze permanent uit de repository werd verwijderd.
Net als eerdere typosquatting-aanvallen van dit soort, repliceert de verkeerd gespelde bibliotheek de volledige functionaliteit van de originele bibliotheek, terwijl ook een kwaadaardige functie wordt geïntroduceerd die is ontworpen om een Golang-binair bestand op te halen dat wordt gehost op een externe URL.
In het bijzonder controleert de nieuwe functie of de “GITLAB_CI” omgevingsvariabele is ingesteld, wat duidt op een “enkelvoudige interesse in continue integratie van GitLab (CI) pijpleidingen,” merkte SentinelOne op.
De payload, die is uitgerust om schermafbeeldingen te maken, toetsaanslagen te loggen en willekeurige bestanden te downloaden, kan zowel op Linux als macOS worden uitgevoerd, maar niet op Windows-systemen. De uiteindelijke doelen van de campagne zijn nog niet bekend.
Hoewel typosquatting-aanvallen eerder zijn gedocumenteerd tegen NPM (JavaScript), PyPi (Python) en RubyGems (Ruby), markeert de ontwikkeling een ongebruikelijk geval waarin een dergelijk incident is ontdekt in het Rust-ecosysteem.
“Software supply chain-aanvallen zijn van een zeldzame gebeurtenis veranderd in een zeer wenselijke aanpak voor aanvallers om te ‘vissen met dynamiet’ in een poging om hele gebruikerspopulaties tegelijk te infecteren”, aldus SentinelOne-onderzoekers.
“In het geval van CrateDepression suggereert de interesse in het bouwen van cloudsoftware dat de aanvallers zouden kunnen proberen deze infecties te gebruiken voor grootschalige supply chain-aanvallen.”
