Otkrivena je nova serija malicioznih NPM paketa kreiranih za ciljane napade na njemačke tvrtke Bertelsmann, Bosch, Stihl i DB Schenker. Napad koristi metodu miješanja ovisnosti, koja manipulira presjekom naziva ovisnosti u javnim i internim spremištima. U javno dostupnim aplikacijama napadači pronalaze tragove pristupa internim NPM paketima preuzetim iz korporativnih repozitorija, a zatim smještaju pakete s istim nazivima i novijim brojevima verzije u javni NPM repozitorij. Ako tijekom sastavljanja interne biblioteke nisu eksplicitno povezane sa svojim repozitorijem u postavkama, npm upravitelj paketa smatra da javno spremište ima viši prioritet i preuzima paket koji je pripremio napadač.
Za razliku od prethodno dokumentiranih pokušaja lažiranja internih paketa, koje obično provode sigurnosni istraživači kako bi dobili nagradu za identificiranje ranjivosti u proizvodima velikih tvrtki, otkriveni paketi ne sadrže obavijesti o testiranju i uključuju maskirani radni zlonamjerni kod koji preuzima i pokreće stražnja vrata za daljinsko upravljanje pogođenim sustavom.
Opći popis paketa uključenih u napad nije prijavljen; kao primjer se spominju samo paketi gxm-reference-web-auth-server, ldtzstxwzpntxqn i lznfjbhurpjsqmr, koji su objavljeni pod boschnodemodules računom u NPM repozitoriju s novijom verzijom brojevi 0.5.70 i 4.0.49 od originalnih internih paketa. Još nije jasno kako su napadači uspjeli saznati nazive i verzije internih biblioteka koje se ne spominju u otvorenim repozitorijima. Vjeruje se da je informacija dobivena kao rezultat internog curenja informacija. Istraživači koji prate objavljivanje novih paketa izvijestili su administraciju NPM-a da su maliciozni paketi identificirani 4 sata nakon objave.
Ažuriranje: Code White je naveo da je napad izveo njegov zaposlenik kao dio koordinirane simulacije napada na korisničku infrastrukturu. Tijekom eksperimenta simulirane su akcije pravih napadača kako bi se testirala učinkovitost implementiranih sigurnosnih mjera.
Izvor: opennet.ru