Un nouveau lot de packages NPM malveillants créés pour des attaques ciblées contre les sociétés allemandes Bertelsmann, Bosch, Stihl et DB Schenker a été divulgué. L'attaque utilise la méthode de mélange de dépendances, qui manipule l'intersection des noms de dépendances dans les référentiels publics et internes. Dans les applications accessibles au public, les attaquants trouvent des traces d'accès aux packages NPM internes téléchargés à partir des référentiels d'entreprise, puis placent des packages portant les mêmes noms et des numéros de version plus récents dans le référentiel NPM public. Si lors de l'assemblage les bibliothèques internes ne sont pas explicitement liées à leur référentiel dans les paramètres, le gestionnaire de packages npm considère le référentiel public comme une priorité plus élevée et télécharge le package préparé par l'attaquant.
Contrairement aux tentatives précédemment documentées d'usurpation de packages internes, généralement menées par des chercheurs en sécurité afin de recevoir des récompenses pour l'identification de vulnérabilités dans les produits de grandes entreprises, les packages détectés ne contiennent pas de notifications sur les tests et incluent un code malveillant obscurci qui télécharge et exécute un porte dérobée pour le contrôle à distance du système concerné.
La liste générale des packages impliqués dans l'attaque n'est pas rapportée ; à titre d'exemple, seuls les packages gxm-reference-web-auth-server, ldtzstxwzpntxqn et lznfjbhurpjSQR sont mentionnés, qui ont été publiés sous le compte boschnodemodules dans le référentiel NPM avec une version plus récente. numéros 0.5.70 et 4.0.49 que les packages internes d'origine. On ne sait pas encore comment les attaquants ont réussi à découvrir les noms et les versions des bibliothèques internes qui ne sont pas mentionnées dans les référentiels ouverts. On pense que ces informations ont été obtenues à la suite de fuites d'informations internes. Les chercheurs surveillant la publication de nouveaux packages ont signalé à l'administration NPM que des packages malveillants avaient été identifiés 4 heures après leur publication.
Mise à jour : Code White a déclaré que l'attaque avait été menée par son employé dans le cadre d'une simulation coordonnée d'une attaque contre l'infrastructure client. Au cours de l'expérimentation, les actions de véritables attaquants ont été simulées pour tester l'efficacité des mesures de sécurité mises en œuvre.
Source: opennet.ru