S'ha revelat un nou lot de paquets NPM maliciosos creats per a atacs dirigits a les empreses alemanyes Bertelsmann, Bosch, Stihl i DB Schenker. L'atac utilitza el mètode de barreja de dependències, que manipula la intersecció de noms de dependències als repositoris públics i interns. A les aplicacions disponibles públicament, els atacants troben rastres d'accés als paquets NPM interns descarregats dels dipòsits corporatius i després col·loquen paquets amb els mateixos noms i números de versió més recents al dipòsit públic de NPM. Si durant el muntatge les biblioteques internes no estan enllaçades explícitament al seu dipòsit a la configuració, el gestor de paquets npm considera que el dipòsit públic és una prioritat més alta i descarrega el paquet preparat per l'atacant.
A diferència dels intents documentats anteriorment de falsificar paquets interns, que solen dur a terme investigadors de seguretat per rebre recompenses per identificar vulnerabilitats en productes de grans empreses, els paquets detectats no contenen notificacions sobre proves i inclouen codi maliciós ofuscat que descarrega i executa un porta posterior per al control remot del sistema afectat.
No s'informa de la llista general de paquets implicats en l'atac; com a exemple, només s'esmenten els paquets gxm-reference-web-auth-server, ldtzstxwzpntxqn i lznfjbhurpjsqmr, que es van publicar amb el compte boschnodemodules al repositori NPM amb una versió més recent. números 0.5.70 i 4.0.49 que els paquets interns originals. Encara no està clar com els atacants van aconseguir esbrinar els noms i les versions de les biblioteques internes que no s'esmenten als repositoris oberts. Es creu que la informació es va obtenir com a conseqüència de filtracions d'informació interna. Els investigadors que supervisaven la publicació de nous paquets van informar a l'administració de NPM que els paquets maliciosos es van identificar 4 hores després de la seva publicació.
Actualització: Code White va declarar que l'atac va ser dut a terme pel seu empleat com a part d'una simulació coordinada d'un atac a la infraestructura del client. Durant l'experiment, es van simular les accions d'atacants reals per provar l'efectivitat de les mesures de seguretat implementades.
Font: opennet.ru