Un novu batch di pacchetti NPM maliziusi creati per attacchi mirati à e cumpagnie tedesche Bertelsmann, Bosch, Stihl è DB Schenker hè statu divulgatu. L'attaccu usa u metudu di mischju di dependenza, chì manipula l'intersezzione di nomi di dependenza in i repositori publichi è interni. In l'applicazioni dispunibuli publicamente, l'attaccanti trovanu tracce d'accessu à i pacchetti NPM internu scaricati da i repositori corporativi, è poi mettenu pacchetti cù i stessi nomi è numeri di versione più recenti in u repositoriu NPM publicu. Se durante l'assemblea, e librerie interne ùn sò micca esplicitamente ligati à u so repository in i paràmetri, u gestore di pacchetti npm considera chì u repositoriu publicu hè una priorità più alta è scarica u pacchettu preparatu da l'attaccante.
A cuntrariu di i tentativi documentati prima di falsificà i pacchetti interni, generalmente realizati da circadori di sicurezza per riceve ricumpensa per l'identificazione di vulnerabilità in i prudutti di e grande cumpagnie, i pacchetti rilevati ùn cuntenenu micca notifiche nantu à a prova è includenu codice malicioso di travagliu offuscatu chì scarica è esegue un backdoor per u cuntrollu remoto di u sistema affettatu.
A lista generale di pacchetti implicati in l'attaccu ùn hè micca signalatu; per esempiu, solu i pacchetti gxm-reference-web-auth-server, ldtzstxwzpntxqn è lznfjbhurpjsqmr sò citati, chì sò stati publicati sottu u contu boschnodemodules in u repository NPM cù a versione più nova. numeri 0.5.70 è 4.0.49 cà i pacchetti interni originali. Ùn hè ancu chjaru cumu l'attaccanti anu sappiutu di scopre i nomi è e versioni di biblioteche internu chì ùn sò micca citati in i repositori aperti. Hè cresce chì l'infurmazione hè stata ottenuta com'è u risultatu di fughe d'infurmazioni internu. I ricercatori chì monitoranu a publicazione di novi pacchetti anu infurmatu à l'amministrazione NPM chì i pacchetti maliziusi sò stati identificati 4 ore dopu chì sò stati publicati.
Update: Code White hà dichjaratu chì l'attaccu hè statu fattu da u so impiigatu cum'è parte di una simulazione coordinata di un attaccu à l'infrastruttura di u cliente. Duranti l'esperimentu, l'azzioni di l'attaccanti veri sò stati simulati per pruvà l'efficacità di e misure di sicurezza implementate.
Source: opennet.ru