Usa ka bag-ong hugpong sa malisyosong mga pakete sa NPM nga gihimo alang sa gipunting nga mga pag-atake sa mga kompanya sa Aleman nga Bertelsmann, Bosch, Stihl ug DB Schenker ang gibutyag. Ang pag-atake naggamit sa pamaagi sa pagsagol sa dependency, nga nagmaniobra sa intersection sa mga ngalan sa dependency sa publiko ug internal nga mga repositoryo. Sa publikong magamit nga mga aplikasyon, ang mga tig-atake makakitag mga bakas sa pag-access sa internal nga NPM nga mga pakete nga gi-download gikan sa corporate repository, ug dayon ibutang ang mga pakete nga adunay parehas nga mga ngalan ug mas bag-ong bersyon nga mga numero sa publikong NPM repository. Kung sa panahon sa asembliya ang mga internal nga librarya dili klaro nga nalambigit sa ilang repository sa mga setting, gikonsiderar sa tagdumala sa npm package ang publiko nga repository nga usa ka mas taas nga prayoridad ug gi-download ang package nga giandam sa tig-atake.
Dili sama sa kaniadto nga dokumentado nga mga pagsulay sa pagpanglimbong sa mga internal nga pakete, nga sagad gihimo sa mga tigdukiduki sa seguridad aron makadawat mga ganti alang sa pag-ila sa mga kahuyangan sa mga produkto sa dagkong mga kompanya, ang mga nakit-an nga mga pakete wala maglangkob sa mga pahibalo bahin sa pagsulay ug naglakip sa natago nga pagtrabaho nga malisyoso nga code nga nag-download ug nagpadagan sa usa ka backdoor para sa remote control sa naapektuhan nga sistema.
Ang kinatibuk-ang listahan sa mga pakete nga nalambigit sa pag-atake wala gitaho; isip pananglitan, ang mga pakete lamang nga gxm-reference-web-auth-server, ldtzstxwzpntxqn ug lznfjbhurpjsqmr ang gihisgutan, nga gi-post ubos sa boschnodemodules account sa NPM repository nga adunay mas bag-ong bersyon mga numero 0.5.70 ug 4.0.49. 4 kay sa orihinal nga internal nga mga pakete. Dili pa klaro kung giunsa nahibal-an sa mga tig-atake ang mga ngalan ug bersyon sa mga internal nga librarya nga wala hisgoti sa bukas nga mga repositoryo. Gituohan nga ang impormasyon nakuha isip resulta sa internal nga mga pagtagas sa impormasyon. Ang mga tigdukiduki nga nagmonitor sa pagmantala sa bag-ong mga pakete nga gitaho sa administrasyon sa NPM nga ang mga malisyosong pakete giila XNUMX ka oras human kini mamantala.
Update: Gipahayag sa Code White nga ang pag-atake gihimo sa empleyado niini isip bahin sa usa ka koordinado nga simulation sa usa ka pag-atake sa imprastraktura sa kostumer. Atol sa eksperimento, ang mga aksyon sa tinuod nga mga tig-atake gisundog aron sulayan ang pagka-epektibo sa gipatuman nga mga lakang sa seguridad.
Source: opennet.ru