Mae swp newydd o becynnau NPM maleisus a grëwyd ar gyfer ymosodiadau wedi'u targedu ar y cwmnïau Almaeneg Bertelsmann, Bosch, Stihl a DB Schenker wedi'u datgelu. Mae'r ymosodiad yn defnyddio'r dull cymysgu dibyniaeth, sy'n trin croestoriad enwau dibyniaeth mewn cadwrfeydd cyhoeddus a mewnol. Mewn cymwysiadau sydd ar gael yn gyhoeddus, mae ymosodwyr yn dod o hyd i olion mynediad i becynnau NPM mewnol wedi'u llwytho i lawr o ystorfeydd corfforaethol, ac yna'n gosod pecynnau gyda'r un enwau a rhifau fersiynau mwy newydd yn ystorfa NPM gyhoeddus. Os nad yw'r llyfrgelloedd mewnol wedi'u cysylltu'n benodol â'u storfa yn y gosodiadau yn ystod y cynulliad, mae rheolwr pecyn npm yn ystyried bod y storfa gyhoeddus yn flaenoriaeth uwch ac yn lawrlwytho'r pecyn a baratowyd gan yr ymosodwr.
Yn wahanol i ymdrechion a ddogfennwyd yn flaenorol i ffugio pecynnau mewnol, a wneir fel arfer gan ymchwilwyr diogelwch er mwyn derbyn gwobrau am nodi gwendidau yng nghynhyrchion cwmnïau mawr, nid yw'r pecynnau a ganfuwyd yn cynnwys hysbysiadau am brofion ac maent yn cynnwys cod maleisus gweithio aneglur sy'n lawrlwytho ac yn rhedeg drws cefn ar gyfer rheoli'r system yr effeithiwyd arni o bell.
Ni adroddir ar y rhestr gyffredinol o becynnau sy'n ymwneud â'r ymosodiad; fel enghraifft, dim ond y pecynnau gxm-reference-web-auth-server, ldtzstxwzpntxqn a lznfjbhurpjsqmr a grybwyllir, a bostiwyd o dan y cyfrif boschnodemodules yn ystorfa NPM gyda fersiwn mwy diweddar rhifau 0.5.70 a 4.0.49 4 na'r pecynnau mewnol gwreiddiol. Nid yw'n glir eto sut y llwyddodd yr ymosodwyr i ddarganfod enwau a fersiynau llyfrgelloedd mewnol nad ydynt yn cael eu crybwyll mewn ystorfeydd agored. Credir i'r wybodaeth ddod i law o ganlyniad i ollwng gwybodaeth fewnol. Dywedodd ymchwilwyr sy'n monitro cyhoeddi pecynnau newydd i weinyddiaeth yr NPM fod pecynnau maleisus wedi'u nodi XNUMX awr ar ôl iddynt gael eu cyhoeddi.
Diweddariad: Dywedodd Code White fod yr ymosodiad wedi'i gyflawni gan ei weithiwr fel rhan o efelychiad cydgysylltiedig o ymosodiad ar seilwaith cwsmeriaid. Yn ystod yr arbrawf, efelychwyd gweithredoedd ymosodwyr go iawn i brofi effeithiolrwydd y mesurau diogelwch a weithredwyd.
Ffynhonnell: opennet.ru