تم الكشف عن مجموعة جديدة من حزم NPM الخبيثة التي تم إنشاؤها لهجمات مستهدفة على الشركات الألمانية Bertelsmann وBosch وStihl وDB Schenker. يستخدم الهجوم طريقة خلط التبعية، التي تتلاعب بتقاطع أسماء التبعيات في المستودعات العامة والداخلية. في التطبيقات المتاحة للعامة، يعثر المهاجمون على آثار الوصول إلى حزم NPM الداخلية التي تم تنزيلها من مستودعات الشركة، ثم يضعون الحزم التي تحمل نفس الأسماء وأرقام الإصدارات الأحدث في مستودع NPM العام. إذا لم يتم ربط المكتبات الداخلية بشكل صريح بمستودعها في الإعدادات أثناء التجميع، فإن مدير حزم npm يعتبر المستودع العام أولوية أعلى ويقوم بتنزيل الحزمة التي أعدها المهاجم.
على عكس المحاولات الموثقة مسبقًا لانتحال الحزم الداخلية، والتي يتم إجراؤها عادةً بواسطة باحثين أمنيين من أجل الحصول على مكافآت مقابل تحديد نقاط الضعف في منتجات الشركات الكبيرة، فإن الحزم المكتشفة لا تحتوي على إشعارات حول الاختبار وتتضمن تعليمات برمجية ضارة غامضة تعمل على تنزيل وتشغيل برنامج باب خلفي للتحكم عن بعد في النظام المصاب.
لم يتم الإبلاغ عن القائمة العامة للحزم المشاركة في الهجوم؛ على سبيل المثال، تم ذكر الحزم gxm-reference-web-auth-server وldtzstxwzpntxqn وlznfjbhurpjsqmr فقط، والتي تم نشرها ضمن حساب boschnodemodules في مستودع NPM بالإصدار الأحدث أرقام 0.5.70 و 4.0.49 من الحزم الداخلية الأصلية. ولم يتضح بعد كيف تمكن المهاجمون من معرفة أسماء وإصدارات المكتبات الداخلية غير المذكورة في المستودعات المفتوحة. ويعتقد أنه تم الحصول على المعلومات نتيجة لتسرب معلومات داخلية. أبلغ الباحثون الذين يراقبون نشر الحزم الجديدة إدارة NPM أنه تم التعرف على الحزم الضارة بعد 4 ساعات من نشرها.
تحديث: ذكرت شركة Code White أن الهجوم تم تنفيذه بواسطة موظفها كجزء من محاكاة منسقة للهجوم على البنية التحتية للعميل. خلال التجربة، تمت محاكاة تصرفات المهاجمين الحقيقيين لاختبار فعالية التدابير الأمنية المطبقة.
المصدر: opennet.ru