En ny batch af ondsindede NPM-pakker skabt til målrettede angreb på de tyske virksomheder Bertelsmann, Bosch, Stihl og DB Schenker er blevet afsløret. Angrebet bruger afhængighedsblandingsmetoden, som manipulerer skæringspunktet mellem afhængighedsnavne i offentlige og interne lagre. I offentligt tilgængelige applikationer finder angribere spor af adgang til interne NPM-pakker, der er downloadet fra firmalagre, og placerer derefter pakker med de samme navne og nyere versionsnumre i det offentlige NPM-lager. Hvis de interne biblioteker under samlingen ikke er eksplicit knyttet til deres lager i indstillingerne, betragter npm-pakkeadministratoren det offentlige lager som en højere prioritet og downloader pakken, der er udarbejdet af angriberen.
I modsætning til tidligere dokumenterede forsøg på at forfalske interne pakker, som normalt udføres af sikkerhedsforskere for at modtage belønninger for at identificere sårbarheder i produkter fra store virksomheder, indeholder de opdagede pakker ikke meddelelser om test og inkluderer tilsløret fungerende ondsindet kode, der downloader og kører en bagdør til fjernstyring af det berørte system.
Den generelle liste over pakker involveret i angrebet er ikke rapporteret; som et eksempel nævnes kun pakkerne gxm-reference-web-auth-server, ldtzstxwzpntxqn og lznfjbhurpjsqmr, som blev postet under boschnodemodules-kontoen i NPM-lageret med nyere version numrene 0.5.70 og 4.0.49 end de originale interne pakker. Det er endnu ikke klart, hvordan angriberne formåede at finde ud af navne og versioner af interne biblioteker, der ikke er nævnt i åbne arkiver. Det menes, at oplysningerne er indhentet som følge af interne informationslæk. Forskere, der overvåger offentliggørelsen af nye pakker, rapporterede til NPM-administrationen, at ondsindede pakker blev identificeret 4 timer efter, at de blev offentliggjort.
Opdatering: Code White oplyste, at angrebet blev udført af dens medarbejder som en del af en koordineret simulering af et angreb på kundeinfrastruktur. Under eksperimentet blev virkelige angriberes handlinger simuleret for at teste effektiviteten af de implementerede sikkerhedsforanstaltninger.
Kilde: opennet.ru