Yon nouvo pakèt move pakè NPM kreye pou atak vize sou konpayi Alman Bertelsmann, Bosch, Stihl ak DB Schenker te divilge. Atak la sèvi ak metòd melanje depandans, ki manipile entèseksyon non depandans nan depo piblik ak entèn yo. Nan aplikasyon ki disponib pou piblik la, atakè yo jwenn tras aksè nan pakè NPM entèn telechaje nan depo antrepriz yo, epi answit mete pakè ki gen menm non yo ak nimewo vèsyon pi nouvo yo nan depo piblik NPM la. Si pandan asanble bibliyotèk entèn yo pa klèman lye ak depo yo nan anviwònman yo, manadjè pake npm konsidere depo piblik la kòm yon pi gwo priyorite epi telechaje pake atakè a prepare.
Kontrèman ak tantativ ki te deja dokimante pou twonpe pakè entèn yo, anjeneral, chèchè sekirite yo te fè pou yo ka resevwa rekonpans pou idantifye frajilite nan pwodwi gwo konpayi yo, pakè yo detekte yo pa genyen notifikasyon sou tès yo epi yo enkli kòd move k ap travay obfuske ki telechaje ak kouri yon. backdoor pou kontwòl remote nan sistèm ki afekte a.
Lis jeneral pakè ki enplike nan atak la pa rapòte; kòm yon egzanp, sèlman pakè gxm-reference-web-auth-server, ldtzstxwzpntxqn ak lznfjbhurpjsqmr yo mansyone, ki te afiche anba kont boschnodemodules nan repozitwa NPM ak nouvo vèsyon. nimewo 0.5.70 ak 4.0.49 pase pakè entèn orijinal yo. Li poko klè ki jan atakè yo te jere yo chèche konnen non ak vèsyon bibliyotèk entèn yo ki pa mansyone nan depo louvri. Yo kwè ke enfòmasyon an te jwenn kòm yon rezilta nan fwit enfòmasyon entèn yo. Chèchè ki te kontwole piblikasyon nouvo pakè yo rapòte bay administrasyon NPM ke pakè move yo te idantifye 4 èdtan apre yo te pibliye yo.
Mizajou: Kòd White te deklare ke anplwaye li yo te fè atak la kòm yon pati nan yon simulation kowòdone nan yon atak sou enfrastrikti kliyan. Pandan eksperyans la, aksyon atakè reyèl yo te simulation pou teste efikasite mezi sekirite yo aplike.
Sous: opennet.ru