Uusi erä haitallisia NPM-paketteja, jotka on luotu kohdistettuja hyökkäyksiä varten saksalaisia yrityksiä Bertelsmann, Bosch, Stihl ja DB Schenker vastaan, on paljastettu. Hyökkäys käyttää riippuvuussekoitusmenetelmää, joka manipuloi riippuvuuksien nimien leikkauskohtaa julkisissa ja sisäisissä arkistoissa. Julkisesti saatavilla olevissa sovelluksissa hyökkääjät löytävät jälkiä pääsystä yritysten tietovarastoista ladattuihin sisäisiin NPM-paketteihin ja sijoittavat sitten paketteja, joilla on sama nimi ja uudempi versionumero julkiseen NPM-tietovarastoon. Jos kokoonpanon aikana sisäisiä kirjastoja ei ole erikseen linkitetty arkistoonsa asetuksissa, npm-paketinhallinta pitää julkista arkistoa korkeampana prioriteettina ja lataa hyökkääjän valmisteleman paketin.
Toisin kuin aiemmin dokumentoidut sisäiset paketit huijausyritykset, joita yleensä suorittavat tietoturvatutkijat saadakseen palkintoja suurten yritysten tuotteiden haavoittuvuuksien tunnistamisesta, havaitut paketit eivät sisällä ilmoituksia testauksesta ja sisältävät hämärää toimivaa haittakoodia, joka lataa ja suorittaa takaovi asianomaisen järjestelmän kauko-ohjaukseen.
Hyökkäykseen osallistuneiden pakettien yleistä luetteloa ei raportoida, esimerkkinä mainitaan vain paketit gxm-reference-web-auth-server, ldtzstxwzpntxqn ja lznfjbhurpjsqmr, jotka on julkaistu boschnodemodules-tilillä NPM-tietovarastossa uudemmalla versiolla. numerot 0.5.70 ja 4.0.49. 4 kuin alkuperäiset sisäiset pakkaukset. Vielä ei ole selvää, kuinka hyökkääjät onnistuivat saamaan selville sisäisten kirjastojen nimet ja versiot, joita ei mainita avoimissa arkistoissa. Tietojen uskotaan saaneen sisäisten tietovuotojen seurauksena. Uusien pakettien julkaisemista valvovat tutkijat ilmoittivat NPM:n hallinnolle, että haitalliset paketit tunnistettiin XNUMX tuntia niiden julkaisemisen jälkeen.
Päivitys: Code White ilmoitti, että sen työntekijä teki hyökkäyksen osana koordinoitua simulaatiota asiakkaan infrastruktuuriin kohdistuvasta hyökkäyksestä. Kokeilun aikana simuloitiin oikeiden hyökkääjien toimia toteutettujen turvatoimien tehokkuuden testaamiseksi.
Lähde: opennet.ru