Nova aro de malicaj NPM-pakaĵoj kreitaj por celitaj atakoj kontraŭ la germanaj kompanioj Bertelsmann, Bosch, Stihl kaj DB Schenker estis malkaŝita. La atako uzas la dependecan miksan metodon, kiu manipulas la intersekciĝon de dependecaj nomoj en publikaj kaj internaj deponejoj. En publike haveblaj aplikoj, atakantoj trovas spurojn de aliro al internaj NPM-pakaĵoj elŝutitaj de kompaniaj deponejoj, kaj tiam metas pakaĵojn kun la samaj nomoj kaj pli novaj versinumeroj en la publikan NPM-deponejon. Se dum kunigo la internaj bibliotekoj ne estas eksplicite ligitaj al sia deponejo en la agordoj, la pakaĵmanaĝero npm konsideras la publikan deponejon pli alta prioritato kaj elŝutas la pakaĵon preparitan de la atakanto.
Male al antaŭe dokumentitaj provoj falsigi internajn pakaĵojn, kutime faritajn de sekurecaj esploristoj por ricevi rekompencojn pro identigado de vundeblecoj en la produktoj de grandaj kompanioj, la detektitaj pakaĵoj ne enhavas sciigojn pri testado kaj inkluzivas malklarigitan funkciantan malican kodon, kiu elŝutas kaj funkciigas. malantaŭa pordo por teleregado de la tuŝita sistemo.
La ĝenerala listo de pakaĵoj implikitaj en la atako ne estas raportita; ekzemple, nur la pakaĵoj gxm-reference-web-auth-server, ldtzstxwzpntxqn kaj lznfjbhurpjsqmr estas menciitaj, kiuj estis afiŝitaj sub la boschnodemodules-konto en la NPM-deponejo kun pli nova versio. numeroj 0.5.70 kaj 4.0.49 ol la originalaj internaj pakaĵoj. Ankoraŭ ne estas klare, kiel la atakantoj sukcesis eltrovi la nomojn kaj versiojn de internaj bibliotekoj, kiuj ne estas menciitaj en malfermitaj deponejoj. Oni kredas, ke la informoj estis akiritaj kiel rezulto de internaj informfuĝoj. Esploristoj monitorantaj la publikigon de novaj pakaĵoj raportis al la NPM-administrado, ke malicaj pakaĵoj estis identigitaj 4 horojn post kiam ili estis publikigitaj.
Ĝisdatigo: Code White deklaris, ke la atako estis farita de sia dungito kiel parto de kunordigita simulado de atako sur klienta infrastrukturo. Dum la eksperimento, la agoj de realaj atakantoj estis simulitaj por testi la efikecon de la efektivigitaj sekurecaj mezuroj.
fonto: opennet.ru