Revelouse un novo lote de paquetes NPM maliciosos creados para ataques dirixidos ás empresas alemás Bertelsmann, Bosch, Stihl e DB Schenker. O ataque usa o método de mestura de dependencias, que manipula a intersección de nomes de dependencias en repositorios públicos e internos. Nas aplicacións dispoñibles publicamente, os atacantes atopan rastros de acceso a paquetes NPM internos descargados desde repositorios corporativos e, a continuación, colocan paquetes cos mesmos nomes e números de versión máis recentes no repositorio público de NPM. Se durante a montaxe as bibliotecas internas non están ligadas explícitamente ao seu repositorio na configuración, o xestor de paquetes npm considera que o repositorio público é unha prioridade maior e descarga o paquete preparado polo atacante.
A diferenza dos intentos documentados anteriormente de falsificar paquetes internos, normalmente realizados por investigadores de seguridade co fin de recibir recompensas por identificar vulnerabilidades nos produtos de grandes empresas, os paquetes detectados non conteñen notificacións sobre as probas e inclúen código malicioso que funciona ofuscado que descarga e executa un porta traseira para o control remoto do sistema afectado.
Non se informa da lista xeral de paquetes implicados no ataque; como exemplo, só se mencionan os paquetes gxm-reference-web-auth-server, ldtzstxwzpntxqn e lznfjbhurpjsqmr, que foron publicados baixo a conta boschnodemodules no repositorio de NPM coa versión máis recente. números 0.5.70 e 4.0.49 que os paquetes internos orixinais. Aínda non está claro como conseguiron os atacantes descubrir os nomes e versións das bibliotecas internas que non se mencionan nos repositorios abertos. Crese que a información se obtivo como resultado de filtracións internas de información. Os investigadores que supervisaban a publicación de novos paquetes informaron á administración de NPM de que se identificaron paquetes maliciosos 4 horas despois de ser publicados.
Actualización: Code White afirmou que o ataque foi realizado polo seu empregado como parte dunha simulación coordinada dun ataque á infraestrutura do cliente. Durante o experimento, simuláronse as accións de atacantes reais para probar a eficacia das medidas de seguridade implementadas.
Fonte: opennet.ru