Se ha revelado un nuevo lote de paquetes NPM maliciosos creados para ataques dirigidos a las empresas alemanas Bertelsmann, Bosch, Stihl y DB Schenker. El ataque utiliza el método de mezcla de dependencias, que manipula la intersección de nombres de dependencias en repositorios públicos e internos. En aplicaciones disponibles públicamente, los atacantes encuentran rastros de acceso a paquetes internos de NPM descargados de repositorios corporativos y luego colocan paquetes con los mismos nombres y números de versión más nuevos en el repositorio público de NPM. Si durante el ensamblaje las bibliotecas internas no están vinculadas explícitamente a su repositorio en la configuración, el administrador de paquetes npm considera que el repositorio público tiene mayor prioridad y descarga el paquete preparado por el atacante.
A diferencia de los intentos previamente documentados de falsificar paquetes internos, generalmente llevados a cabo por investigadores de seguridad para recibir recompensas por identificar vulnerabilidades en los productos de grandes empresas, los paquetes detectados no contienen notificaciones sobre pruebas e incluyen código malicioso funcional ofuscado que descarga y ejecuta un puerta trasera para el control remoto del sistema afectado.
La lista general de paquetes involucrados en el ataque no se informa como ejemplo, solo se mencionan los paquetes gxm-reference-web-auth-server, ldtzstxwzpntxqn y lznfjbhurpjsqmr, que se publicaron en la cuenta boschnodemodules en el repositorio de NPM con una versión más reciente; números 0.5.70 y 4.0.49 4 que los paquetes internos originales. Aún no está claro cómo los atacantes lograron descubrir los nombres y versiones de bibliotecas internas que no se mencionan en los repositorios abiertos. Se supone que la información se obtuvo como resultado de filtraciones de información internas. Los investigadores que monitorean la publicación de nuevos paquetes informaron a la administración de NPM que se identificaron paquetes maliciosos XNUMX horas después de su publicación.
Actualización: Code White declaró que el ataque fue llevado a cabo por su empleado como parte de una simulación coordinada de un ataque a la infraestructura del cliente. Durante el experimento se simularon las acciones de atacantes reales para comprobar la eficacia de las medidas de seguridad implementadas.
Fuente: opennet.ru
