Objavljena je nova serija zlonamjernih NPM paketa kreiranih za ciljane napade na njemačke kompanije Bertelsmann, Bosch, Stihl i DB Schenker. Napad koristi metodu mešanja zavisnosti, koja manipuliše presekom imena zavisnosti u javnim i internim repozitorijumima. U javno dostupnim aplikacijama, napadači pronalaze tragove pristupa internim NPM paketima preuzetim iz korporativnih repozitorija, a zatim stavljaju pakete sa istim imenima i novijim brojevima verzija u javno NPM spremište. Ako tokom sklapanja interne biblioteke nisu eksplicitno povezane sa svojim spremištem u postavkama, npm menadžer paketa smatra da je javno spremište veći prioritet i preuzima paket koji je pripremio napadač.
Za razliku od prethodno dokumentiranih pokušaja lažiranja internih paketa, koje obično sprovode istraživači sigurnosti kako bi dobili nagradu za identifikaciju ranjivosti u proizvodima velikih kompanija, otkriveni paketi ne sadrže obavještenja o testiranju i uključuju zamagljeni radni zlonamjerni kod koji preuzima i pokreće zadnja vrata za daljinsko upravljanje pogođenim sistemom.
Opća lista paketa uključenih u napad nije objavljena; kao primjer, spominju se samo paketi gxm-reference-web-auth-server, ldtzstxwzpntxqn i lznfjbhurpjsqmr, koji su objavljeni pod nalogom boschnodemodules u NPM spremištu sa novijom verzijom brojevi 0.5.70 i 4.0.49 od originalnih internih paketa. Još nije jasno kako su napadači uspjeli saznati imena i verzije internih biblioteka koje se ne pominju u otvorenim repozitorijumima. Smatra se da su informacije dobijene kao rezultat internog curenja informacija. Istraživači koji prate objavljivanje novih paketa prijavili su NPM administraciji da su zlonamjerni paketi identificirani 4 sata nakon objavljivanja.
Ažuriranje: Code White je naveo da je napad izveo njegov zaposlenik kao dio koordinisane simulacije napada na infrastrukturu korisnika. Tokom eksperimenta simulirane su akcije pravih napadača kako bi se testirala efikasnost primijenjenih mjera sigurnosti.
izvor: opennet.ru