Byla odhalena nová dávka škodlivých balíčků NPM vytvořených pro cílené útoky na německé společnosti Bertelsmann, Bosch, Stihl a DB Schenker. Útok využívá metodu míchání závislostí, která manipuluje s průnikem názvů závislostí ve veřejných a interních úložištích. Ve veřejně dostupných aplikacích útočníci najdou stopy přístupu k interním NPM balíčkům staženým z podnikových úložišť a pak umístí balíčky se stejnými názvy a novějšími čísly verzí do veřejného úložiště NPM. Pokud během sestavování nejsou interní knihovny explicitně propojeny se svým úložištěm v nastavení, správce balíčků npm považuje veřejné úložiště za vyšší prioritu a stáhne balíček připravený útočníkem.
Na rozdíl od dříve zdokumentovaných pokusů o falšování interních balíčků, které obvykle provádějí bezpečnostní výzkumníci za účelem získání odměn za identifikaci zranitelností v produktech velkých společností, neobsahují detekované balíčky upozornění o testování a obsahují obfuskovaný fungující škodlivý kód, který stahuje a spouští zadní vrátka pro dálkové ovládání postiženého systému.
Obecný seznam balíčků zapojených do útoku není hlášen; jako příklad jsou uvedeny pouze balíčky gxm-reference-web-auth-server, ldtzstxwzpntxqn a lznfjbhurpjsqmr, které byly zveřejněny pod účtem boschnodemodules v úložišti NPM s novější verzí. čísla 0.5.70 a 4.0.49 než původní vnitřní balení. Zatím není jasné, jak se útočníkům podařilo zjistit názvy a verze interních knihoven, které nejsou uvedeny v otevřených repozitářích. Předpokládá se, že informace byly získány v důsledku vnitřních úniků informací. Výzkumníci sledující zveřejňování nových balíčků oznámili správě NPM, že škodlivé balíčky byly identifikovány 4 hodiny po jejich zveřejnění.
Aktualizace: Code White uvedl, že útok provedl jeho zaměstnanec v rámci koordinované simulace útoku na zákaznickou infrastrukturu. Během experimentu byly simulovány akce skutečných útočníků, aby se otestovala účinnost implementovaných bezpečnostních opatření.
Zdroj: opennet.ru