Αποκαλύφθηκε μια νέα παρτίδα κακόβουλων πακέτων NPM που δημιουργήθηκαν για στοχευμένες επιθέσεις στις γερμανικές εταιρείες Bertelsmann, Bosch, Stihl και DB Schenker. Η επίθεση χρησιμοποιεί τη μέθοδο μίξης εξάρτησης, η οποία χειρίζεται τη διασταύρωση των ονομάτων εξαρτήσεων σε δημόσια και εσωτερικά αποθετήρια. Σε δημόσια διαθέσιμες εφαρμογές, οι εισβολείς βρίσκουν ίχνη πρόσβασης σε εσωτερικά πακέτα NPM που έχουν ληφθεί από εταιρικά αποθετήρια και, στη συνέχεια, τοποθετούν πακέτα με τα ίδια ονόματα και νεότερους αριθμούς έκδοσης στο δημόσιο χώρο αποθήκευσης NPM. Εάν κατά τη συναρμολόγηση οι εσωτερικές βιβλιοθήκες δεν είναι ρητά συνδεδεμένες με το αποθετήριο τους στις ρυθμίσεις, ο διαχειριστής πακέτων npm θεωρεί ότι η δημόσια αποθήκη έχει μεγαλύτερη προτεραιότητα και κατεβάζει το πακέτο που έχει ετοιμάσει ο εισβολέας.
Σε αντίθεση με προηγουμένως τεκμηριωμένες απόπειρες πλαστογράφησης εσωτερικών πακέτων, που συνήθως πραγματοποιούνται από ερευνητές ασφαλείας προκειμένου να λάβουν ανταμοιβές για τον εντοπισμό τρωτών σημείων στα προϊόντα μεγάλων εταιρειών, τα πακέτα που εντοπίστηκαν δεν περιέχουν ειδοποιήσεις σχετικά με τις δοκιμές και περιλαμβάνουν σκοτεινό λειτουργικό κακόβουλο κώδικα που κατεβάζει και εκτελεί ένα κερκόπορτα για τηλεχειρισμό του πληγέντος συστήματος.
Η γενική λίστα των πακέτων που εμπλέκονται στην επίθεση δεν αναφέρεται. Για παράδειγμα, αναφέρονται μόνο τα πακέτα gxm-reference-web-auth-server, ldtzstxwzpntxqn και lznfjbhurpjsqmr, τα οποία δημοσιεύτηκαν στον λογαριασμό boschnodemodules στο αποθετήριο NPM με νεότερη έκδοση αριθμοί 0.5.70 και 4.0.49 4 από τα αρχικά εσωτερικά πακέτα. Δεν είναι ακόμη σαφές πώς οι επιτιθέμενοι κατάφεραν να ανακαλύψουν τα ονόματα και τις εκδόσεις των εσωτερικών βιβλιοθηκών που δεν αναφέρονται σε ανοιχτά αποθετήρια. Πιστεύεται ότι οι πληροφορίες ελήφθησαν ως αποτέλεσμα εσωτερικών διαρροών πληροφοριών. Ερευνητές που παρακολουθούσαν τη δημοσίευση νέων πακέτων ανέφεραν στη διοίκηση του NPM ότι τα κακόβουλα πακέτα εντοπίστηκαν XNUMX ώρες μετά τη δημοσίευσή τους.
Ενημέρωση: Ο Code White δήλωσε ότι η επίθεση πραγματοποιήθηκε από υπάλληλο του ως μέρος μιας συντονισμένης προσομοίωσης επίθεσης στην υποδομή πελατών. Κατά τη διάρκεια του πειράματος, οι ενέργειες πραγματικών εισβολέων προσομοιώθηκαν για να δοκιμαστεί η αποτελεσματικότητα των μέτρων ασφαλείας που εφαρμόστηκαν.
Πηγή: opennet.ru