دسته جدیدی از بسته های مخرب NPM ایجاد شده برای حملات هدفمند به شرکت های آلمانی Bertelsmann، Bosch، Stihl و DB Schenker فاش شده است. این حمله از روش اختلاط وابستگی استفاده میکند که محل تلاقی نامهای وابستگی را در مخازن عمومی و داخلی دستکاری میکند. در برنامههای کاربردی در دسترس عموم، مهاجمان ردپایی از دسترسی به بستههای NPM داخلی دانلود شده از مخازن شرکتها را پیدا میکنند و سپس بستههایی را با همان نامها و شمارههای نسخه جدیدتر در مخزن عمومی NPM قرار میدهند. اگر در طول مونتاژ کتابخانه های داخلی به طور صریح به مخزن خود در تنظیمات مرتبط نباشند، مدیر بسته npm مخزن عمومی را اولویت بالاتری در نظر می گیرد و بسته تهیه شده توسط مهاجم را دانلود می کند.
بر خلاف تلاشهای مستند شده قبلی برای جعل بستههای داخلی، که معمولاً توسط محققان امنیتی به منظور دریافت پاداش برای شناسایی آسیبپذیریها در محصولات شرکتهای بزرگ انجام میشود، بستههای شناسایی شده حاوی اعلانهایی در مورد آزمایش نیستند و شامل کدهای مخرب کاری مبهم هستند که دانلود و اجرا میکنند. درب پشتی برای کنترل از راه دور سیستم آسیب دیده.
لیست کلی بستههای درگیر در حمله گزارش نشده است؛ به عنوان مثال، فقط بستههای gxm-reference-web-auth-server، ldtzstxwzpntxqn و lznfjbhurpjsqmr ذکر شدهاند که تحت حساب boschnodemodules در مخزن NPM با نسخه جدیدتر پست شدهاند. اعداد 0.5.70 و 4.0.49. 4 نسبت به بسته های داخلی اصلی. هنوز مشخص نیست که مهاجمان چگونه موفق به کشف نام و نسخه های کتابخانه های داخلی شده اند که در مخازن باز ذکر نشده است. اعتقاد بر این است که این اطلاعات در نتیجه نشت اطلاعات داخلی به دست آمده است. محققانی که بر انتشار بستههای جدید نظارت میکردند، به اداره NPM گزارش دادند که بستههای مخرب XNUMX ساعت پس از انتشار شناسایی شدند.
به روز رسانی: Code White اظهار داشت که این حمله توسط کارمندش به عنوان بخشی از شبیه سازی هماهنگ حمله به زیرساخت مشتری انجام شده است. در طول آزمایش، اقدامات مهاجمان واقعی برای آزمایش اثربخشی اقدامات امنیتی اجرا شده شبیهسازی شد.
منبع: opennet.ru