Avalikustati uus partii pahatahtlikke NPM-pakette, mis on loodud sihipärasteks rünnakuteks Saksa ettevõtetele Bertelsmann, Bosch, Stihl ja DB Schenker. Rünnak kasutab sõltuvuste segamise meetodit, mis manipuleerib sõltuvuste nimede ristumiskohaga avalikes ja sisemistes hoidlates. Avalikult saadaolevates rakendustes leiavad ründajad jälgi juurdepääsust ettevõtte hoidlatest alla laaditud sisemistele NPM-pakettidele ning asetavad seejärel samade nimede ja uuemate versiooninumbritega paketid avalikku NPM-i hoidlasse. Kui montaaži käigus ei ole sisemised teegid sätetes otseselt nende hoidlaga seotud, peab paketihaldur npm avalikku hoidlat kõrgemaks prioriteediks ja laadib alla ründaja koostatud paketi.
Erinevalt varem dokumenteeritud sisepakettide võltsimise katsetest, mida tavaliselt viivad läbi turvateadlased selleks, et saada tasu suurettevõtete toodete haavatavuste tuvastamise eest, ei sisalda tuvastatud paketid testimise kohta teateid ja sisaldavad hägustatud töötavat pahatahtlikku koodi, mis laadib alla ja käivitab tagauks mõjutatud süsteemi kaugjuhtimiseks.
Üldist ründes osalenud pakettide loendit ei teata, näitena tuuakse välja ainult paketid gxm-reference-web-auth-server, ldtzstxwzpntxqn ja lznfjbhurpjsqmr, mis postitati uuema versiooniga NPM-i hoidlas boschnodemodules konto alla. numbrid 0.5.70 ja 4.0.49. 4 kui algsed sisemised pakendid. Siiani pole selge, kuidas õnnestus ründajatel välja selgitada sisemiste raamatukogude nimed ja versioonid, mida avatud hoidlates ei mainita. Arvatakse, et info saadi sisemiste infolekete tulemusena. Uute pakettide avaldamist jälgivad teadlased teatasid NPM-i administratsioonile, et pahatahtlikud paketid tuvastati XNUMX tundi pärast nende avaldamist.
Värskendus: Code White teatas, et rünnaku viis läbi tema töötaja osana kliendi infrastruktuuri vastu suunatud rünnaku koordineeritud simulatsioonist. Eksperimendi käigus simuleeriti reaalsete ründajate tegevust, et testida rakendatud turvameetmete tõhusust.
Allikas: opennet.ru