'n Phishing-aanval op JavaScript-biblioteekonderhouers is aangeteken, waartydens 'n boodskap namens die NPM-diens gestuur is, wat kennis gee van die noodsaaklikheid om jou e-pos te bevestig. Die aanval het die aanvallers toegelaat om NPM-tokens van die onderhouer van een van die groot JavaScript-projekte te bekom en opdaterings met kwaadwillige kode vir vyf NPM-pakkette vry te stel, wat saam ongeveer 100 miljoen aflaaie per week beloop.
Die boodskap wat deur die onderhouer gestuur is, was gestileer om soos tipiese NPM-kennisgewings te lyk wat vanaf "support@npmjs.org" gestuur word, maar die skakel wat gevolg moes word, was "npnjs.com" in plaas van "npmjs.com" (die derde "n" in plaas van "m"). Die aanvallers het voordeel getrek uit 'n sielkundige effek waar die brein, in afwagting van die verwagte resultaat, nie geringe vervormings opmerk nie, soos die vervanging van letters met soortgelyke letters of die verandering van die volgorde van letters in 'n woord. Wanneer op die skakel geklik word, is 'n volledige kopie van die npmjs.com-webwerf oopgemaak (waarskynlik is 'n instaanbediener opgestel om die toegangstoken te onderskep).
Tydens die aanval is nuwe weergawes van pakkette gegenereer:
- eslint-konfigurasie-mooier: 8.10.1, 9.1.1, 10.1.6, 10.1.7.
- eslint-inprop-mooier: 4.2.2, 4.2.3.
- sinkronisasie-kit: 0.11.9.
- @pkgr/kern: 0.2.8.
- napi-nainstallasie: 0.3.1.
Kwaadwillige kode is by die gegenereerde vrystellings gevoeg om gebruikers wat die Windows-platform gebruik, aan te val. Die veranderinge het die node-gyp.dll-biblioteek gelaai, wat funksionaliteit bevat vir die afstanduitvoering van bevele op die stelsel.
Die onderhouer het opgemerk dat hy ongeveer 'n uur nadat die eerste klagte oor verdagte vrystellings ontvang is, uitgevis het. Hy het die toegangstoken onmiddellik herroep, die wagwoorde verander en die problematiese weergawes as verouderd gemerk om te verhoed dat outomatiese boustelsels dit aflaai, en 'n versoek aan NPM-ondersteuning ingedien om die problematiese weergawes uit die bewaarplek te verwyder.
Dit word nie gespesifiseer hoeveel gebruikers daarin geslaag het om kwaadwillige weergawes af te laai nie (byvoorbeeld, 'n kwaadwillige weergawe van die eslint-plugin-prettier-pakket het vir ongeveer twee dae in die bewaarplek gebly). Oor die afgelope week is die eslint-config-prettier-pakket 30 miljoen keer afgelaai en is dit as 'n afhanklikheid vir 11762 21 duisend pakkette gebruik, die eslint-plugin-prettier-pakket is 8468 miljoen keer afgelaai (18 16 afhanklike pakkette), synckit is 10 miljoen keer afgelaai, @pkgr/core is XNUMX miljoen keer afgelaai, en napi-postinstall is XNUMX miljoen keer afgelaai.
Bron: opennet.ru
