’n Nuwe bondel kwaadwillige NPM-pakkette wat geskep is vir geteikende aanvalle op die Duitse maatskappye Bertelsmann, Bosch, Stihl en DB Schenker is bekend gemaak. Die aanval gebruik die afhanklikheidmengmetode, wat die kruising van afhanklikheidsname in openbare en interne bewaarplekke manipuleer. In publieke beskikbare toepassings vind aanvallers spore van toegang tot interne NPM-pakkette wat van korporatiewe bewaarplekke afgelaai is, en plaas dan pakkette met dieselfde name en nuwer weergawenommers in die publieke NPM-bewaarplek. As die interne biblioteke tydens samestelling nie eksplisiet aan hul bewaarplek in die instellings gekoppel is nie, beskou die npm-pakketbestuurder die publieke bewaarplek as 'n hoër prioriteit en laai die pakket af wat deur die aanvaller voorberei is.
Anders as voorheen gedokumenteerde pogings om interne pakkette te bedrieg, wat gewoonlik deur sekuriteitsnavorsers uitgevoer word om belonings te ontvang vir die identifisering van kwesbaarhede in die produkte van groot maatskappye, bevat die bespeurde pakkette nie kennisgewings oor toetsing nie en sluit verduisterde werkende kwaadwillige kode in wat 'n aflaai en hardloop. agterdeur vir afstandbeheer van die geaffekteerde stelsel.
Die algemene lys van pakkette wat by die aanval betrokke is, word nie gerapporteer nie; as 'n voorbeeld word slegs die pakkette gxm-reference-web-auth-server, ldtzstxwzpntxqn en lznfjbhurpjsqmr genoem, wat onder die boschnodemodules-rekening in die NPM-bewaarplek geplaas is met 'n nuwer weergawe nommers 0.5.70 en 4.0.49 4 as die oorspronklike interne pakkette. Dit is nog nie duidelik hoe die aanvallers daarin geslaag het om die name en weergawes van interne biblioteke uit te vind wat nie in oop bewaarplekke genoem word nie. Daar word geglo dat die inligting bekom is as gevolg van interne inligtinglekkasies. Navorsers wat die publikasie van nuwe pakkette monitor, het aan die NPM-administrasie gerapporteer dat kwaadwillige pakkette XNUMX uur nadat dit gepubliseer is, geïdentifiseer is.
Opdatering: Code White het verklaar dat die aanval deur sy werknemer uitgevoer is as deel van 'n gekoördineerde simulasie van 'n aanval op klante-infrastruktuur. Tydens die eksperiment is die optrede van regte aanvallers gesimuleer om die doeltreffendheid van die geïmplementeerde veiligheidsmaatreëls te toets.
Bron: opennet.ru