A német Bertelsmann, Bosch, Stihl és DB Schenker cégek elleni célzott támadásokhoz készült rosszindulatú NPM-csomagok új kötegét hozták nyilvánosságra. A támadás a függőségek keverési módszerét használja, amely manipulálja a függőségek neveinek metszéspontját a nyilvános és belső tárolókban. A nyilvánosan elérhető alkalmazásokban a támadók megtalálják a vállalati adattárakból letöltött belső NPM-csomagokhoz való hozzáférés nyomait, majd az azonos nevű és újabb verziószámú csomagokat a nyilvános NPM-tárba helyezik. Ha az összeállítás során a belső könyvtárak nincsenek kifejezetten a tárolójukhoz kapcsolva a beállításokban, az npm csomagkezelő a nyilvános tárolót magasabb prioritásúnak tekinti, és letölti a támadó által készített csomagot.
A korábban dokumentált belső csomagok hamisítási kísérleteitől eltérően, amelyeket rendszerint biztonsági kutatók hajtanak végre annak érdekében, hogy jutalmat kapjanak a nagyvállalatok termékeiben lévő sebezhetőségek azonosításáért, az észlelt csomagok nem tartalmaznak értesítést a tesztelésről, és rejtett, működő rosszindulatú kódot tartalmaznak, amely letölti és futtatja a hátsó ajtó az érintett rendszer távvezérléséhez.
A támadásban érintett csomagok általános listája nem jelent meg, példaként csak a gxm-reference-web-auth-server, ldtzstxwzpntxqn és lznfjbhurpjsqmr csomagok szerepelnek, amelyek az NPM lerakatában az újabb verzióval a boschnodemodules fiók alatt kerültek közzétételre. 0.5.70 és 4.0.49, mint az eredeti belső csomagok. Egyelőre nem világos, hogy a támadóknak hogyan sikerült kideríteniük a nyílt tárolókban nem említett belső könyvtárak nevét és verzióját. Feltételezések szerint az információ belső információszivárogtatás eredményeként került birtokba. Az új csomagok közzétételét figyelő kutatók arról számoltak be az NPM adminisztrációjának, hogy a közzétételük után 4 órával rosszindulatú csomagokat azonosítottak.
Frissítés: A Code White kijelentette, hogy a támadást az alkalmazottja hajtotta végre az ügyfél-infrastruktúra elleni támadás összehangolt szimulációjának részeként. A kísérlet során valódi támadók akcióit szimulálták, hogy teszteljék a végrehajtott biztonsági intézkedések hatékonyságát.
Forrás: opennet.ru