Атака срещу германски компании чрез NPM пакети

Разкрита е нова партида злонамерени NPM пакети, създадени за целенасочени атаки срещу германските компании Bertelsmann, Bosch, Stihl и DB Schenker. Атаката използва метода на смесване на зависимости, който манипулира пресичането на имена на зависимости в публични и вътрешни хранилища. В публично достъпни приложения нападателите откриват следи от достъп до вътрешни NPM пакети, изтеглени от корпоративни хранилища, и след това поставят пакети със същите имена и по-нови номера на версията в публичното NPM хранилище. Ако по време на асемблирането вътрешните библиотеки не са изрично свързани с тяхното хранилище в настройките, мениджърът на пакети npm счита публичното хранилище за по-висок приоритет и изтегля пакета, подготвен от атакуващия.

За разлика от документираните по-рано опити за подправяне на вътрешни пакети, обикновено извършвани от изследователи по сигурността, за да получат награди за идентифициране на уязвимости в продуктите на големи компании, откритите пакети не съдържат известия за тестване и включват обфускиран работещ зловреден код, който изтегля и изпълнява backdoor за дистанционно управление на засегнатата система.

Общият списък на пакетите, включени в атаката, не се съобщава; като пример се споменават само пакетите gxm-reference-web-auth-server, ldtzstxwzpntxqn и lznfjbhurpjsqmr, които са публикувани под акаунта на boschnodemodules в NPM хранилището с по-нова версия номера 0.5.70 и 4.0.49 от оригиналните вътрешни опаковки. Все още не е ясно как нападателите са успели да открият имената и версиите на вътрешните библиотеки, които не са споменати в отворените хранилища. Смята се, че информацията е получена в резултат на вътрешно изтичане на информация. Изследователите, наблюдаващи публикуването на нови пакети, докладват на администрацията на NPM, че злонамерените пакети са идентифицирани 4 часа след публикуването им.

Актуализация: Code White заяви, че атаката е извършена от негов служител като част от координирана симулация на атака срещу клиентска инфраструктура. По време на експеримента бяха симулирани действията на реални нападатели, за да се провери ефективността на въведените мерки за сигурност.

Източник: opennet.ru