Раскрыта новая порцыя шкоднасных NPM-пакетаў, створаных для мэтавых нападаў на нямецкія кампаніі Bertelsmann, Bosch, Stihl і DB Schenker. Для нападу выкарыстаны метад змешвання залежнасцяў, які маніпулюе скрыжаваннем імёнаў залежнасцяў у публічных і ўнутраных рэпазітарах. У наяўных у публічным доступе прыкладаннях атакавалыя знаходзяць сляды звароту да ўнутраных NPM-пакетаў, загружаным з карпаратыўных рэпазітароў, поле чаго размяшчаюць пакеты з тымі ж імёнамі і навейшымі нумарамі версій у публічным рэпазітары NPM. Калі пры зборцы ўнутраныя бібліятэкі відавочна не прывязаныя ў наладах да свайго рэпазітара, пакетны мэнэджар npm лічыць больш прыярытэтным публічны рэпазітар і загружае падрыхтаваны атакавалым пакет.
У адрозненне ад раней фіксаваных спроб падмены ўнутраных пакетаў, як правіла прадпрымаемых даследчыкамі бяспекі з мэтай атрымання ўзнагароджання за выяўленне ўразлівасцяў у прадуктах буйных кампаній, выяўленыя пакеты не ўтрымоўваюць апавяшчэнняў аб правядзенні тэставання і ўключаюць обфусцированный працоўны шкоднасны код, які загружае і запускае бэкдор для выдаленых сістэмай.
Агульны спіс якія ўдзельнічалі ў нападзе пакетаў не паведамляецца, у якасці прыкладу толькі згадваюцца пакеты gxm-reference-web-auth-server, ldtzstxwzpntxqn і lznfjbhurpjsqmr, якія былі змесцаваны пад уліковым запісам boschnodemodules у рэпазітары N0.5.70 з навейшымі. 4.0.49, чым зыходныя ўнутраныя пакеты. Пакуль незразумела, як атакавалым удалося даведацца назвы і версіі ўнутраных бібліятэк, згадка якіх адсутнічае ў адкрытых рэпазітарах. Прадугледжваецца, што звесткі былі атрыманы ў выніку ўнутраных уцечак інфармацыі. Даследнікі, якія ажыццяўляюць маніторынг публікацыі новых пакетаў, паведамілі адміністрацыі NPM аб выяўленні шкоднасных пакетаў праз 4 гадзіны пасля іх публікацыі.
Дадатак: Кампанія Code White заявіла, што напад была праведзена яе супрацоўнікам у рамках узгодненай сімуляцыі нападу на інфраструктуру кліентаў. У ходзе эксперыменту былі імітаваны дзеянні рэальных зламыснікаў для праверкі эфектыўнасці працы ўкаранёных мер абароны.
Крыніца: opennet.ru