በጀርመን ኩባንያዎች በርትልስማን፣ ቦሽ፣ ስቲል እና ዲቢ ሼንከር ላይ ለታለሙ ጥቃቶች የተፈጠሩ አዲስ የተንኮል-አዘል NPM ፓኬጆች ይፋ ሆነዋል። ጥቃቱ የጥገኝነት ማደባለቅ ዘዴን ይጠቀማል፣ ይህም የጥገኝነት ስሞችን በአደባባይ እና በውስጥ ማከማቻዎች መካከል ያለውን ግንኙነት ያስተካክላል። በይፋ በሚገኙ አፕሊኬሽኖች ውስጥ አጥቂዎች ከድርጅት ማከማቻዎች የወረዱ የውስጣዊ የኤንፒኤም ፓኬጆችን የመዳረሻ ዱካ ያገኛሉ እና ከዚያ ተመሳሳይ ስሞች እና አዲስ ስሪት ያላቸው ፓኬጆችን በህዝብ NPM ማከማቻ ውስጥ ያስቀምጣሉ። በስብሰባ ወቅት የውስጥ ቤተ-መጻሕፍት በቅንብሮች ውስጥ ካለው ማከማቻቸው ጋር በግልጽ ካልተገናኙ የ npm ፓኬጅ አስተዳዳሪው የሕዝብ ማከማቻውን ከፍ ያለ ቦታ አድርጎ ይቆጥረዋል እና በአጥቂው የተዘጋጀውን ጥቅል ያወርዳል።
በትልልቅ ኩባንያዎች ምርቶች ውስጥ ያሉ ድክመቶችን ለመለየት ሽልማቶችን ለማግኘት አብዛኛው ጊዜ በደህንነት ተመራማሪዎች ከሚደረጉት የውስጥ ፓኬጆችን ለማቃለል ከሚደረገው ሙከራ በተለየ፣ የተገኙት ጥቅሎች ስለሙከራ ማሳወቂያዎች የሉትም እና የሚያወርድ እና የሚያስኬድ የተደበቀ የስራ ተንኮል-አዘል ኮድ ያካትታል። የጀርባ በር ለተጎዳው ሰው የርቀት መቆጣጠሪያ ስርዓት።
በጥቃቱ ውስጥ የተሳተፉት አጠቃላይ የጥቅሎች ዝርዝር አልተዘገበም፤ ለአብነት ያህል በ NPM ማከማቻ ውስጥ በአዲሱ እትም ውስጥ በboschnodemodules መለያ ስር የተለጠፉት ጥቅሎች gxm-reference-web-auth-server፣ldtzstxwzpntxqn እና lznfjbhurpjsqmr ብቻ ተጠቅሰዋል። ቁጥሮች 0.5.70 እና 4.0.49. 4 ከመጀመሪያው የውስጥ ፓኬጆች ይልቅ. አጥቂዎቹ በክፍት ማከማቻዎች ውስጥ ያልተጠቀሱ የውስጥ ቤተ-መጻሕፍትን ስም እና ሥሪት እንዴት እንዳገኙ እስካሁን ግልጽ አልሆነም። መረጃው የተገኘው ከውስጥ የመረጃ ፍንጣቂዎች የተነሳ እንደሆነ ይታመናል። የአዳዲስ ፓኬጆችን ህትመት የሚከታተሉ ተመራማሪዎች ተንኮል-አዘል ፓኬጆች ከታተሙ ከXNUMX ሰዓታት በኋላ መገኘታቸውን ለኤንፒኤም አስተዳደር ሪፖርት አድርገዋል።
ማሻሻያ፡ ኮድ ዋይት ጥቃቱ የተፈፀመው በደንበኞች መሠረተ ልማት ላይ በተሰነዘረው ጥቃት የተቀናጀ የማስመሰል አካል እንደሆነ ገልጿል። በሙከራው ወቅት የተተገበሩ የደህንነት እርምጃዎችን ውጤታማነት ለመፈተሽ የእውነተኛ አጥቂዎች ድርጊቶች ተመስለዋል።
ምንጭ: opennet.ru