Bertelsmann, Bosch, Stihl eta DB Schenker Alemaniako enpresei zuzendutako erasoetarako sortutako NPM pakete maltzurren sorta berri bat zabaldu da. Erasoak mendekotasun-nahasketa metodoa erabiltzen du, eta menpekotasun-izenen elkargunea manipulatzen du biltegi publikoetan eta barne-biltegietan. Jendaurrean eskuragarri dauden aplikazioetan, erasotzaileek korporazio-biltegietatik deskargatutako barne-NPM paketeetarako sarbidearen aztarnak aurkitzen dituzte, eta, ondoren, izen bereko eta bertsio-zenbaki berriagoak dituzten paketeak jartzen dituzte NPM biltegi publikoan. Muntatzean barneko liburutegiak ez badira beren biltegira esplizituki lotzen ezarpenetan, npm paketeen kudeatzaileak biltegi publikoa lehentasun handiagotzat hartzen du eta erasotzaileak prestatutako paketea deskargatzen du.
Aurretik dokumentatutako barne paketeak faltifikatzeko saiakerak ez bezala, normalean segurtasun ikertzaileek enpresa handien produktuetan ahuleziak identifikatzeko sariak jasotzeko egiten dituztenak ez bezala, detektaturiko paketeek ez dute probei buruzko jakinarazpenik eta laneko kode maltzur lausotua deskargatzen eta exekutatzen dute. atzeko atea kaltetutakoaren urrutiko kontrolerako.
Ez da erasoan parte hartzen duten paketeen zerrenda orokorraren berri ematen; adibide gisa, gxm-reference-web-auth-server, ldtzstxwzpntxqn eta lznfjbhurpjsqmr paketeak bakarrik aipatzen dira, NPM biltegian boschnodemodules kontuaren azpian argitaratu zirenak bertsio berriagoa duten 0.5.70 eta 4.0.49 zenbakiak jatorrizko barne-paketeak baino. Oraindik ez dago argi nola lortu zuten erasotzaileek biltegi irekietan aipatzen ez diren barne liburutegien izenak eta bertsioak jakitea. Informazioa barneko informazio filtrazioen ondorioz lortu dela uste da. Pakete berrien argitalpena kontrolatzen ari ziren ikertzaileek NPMko administrazioari jakinarazi zioten pakete gaiztoak identifikatu zirela argitaratu eta 4 ordura.
Eguneraketa: Code Whitek adierazi zuen bere langileak erasoa egin zuela bezeroaren azpiegituraren aurkako eraso baten simulazio koordinatu baten barruan. Esperimentuan zehar, benetako erasotzaileen ekintzak simulatu ziren inplementatutako segurtasun neurrien eraginkortasuna probatzeko.
Iturria: opennet.ru