Բացահայտվել է վնասակար NPM փաթեթների նոր խմբաքանակ, որը ստեղծվել է գերմանական Bertelsmann, Bosch, Stihl և DB Schenker ընկերությունների վրա նպատակային հարձակումների համար։ Հարձակումն օգտագործում է կախվածության խառնման մեթոդը, որը շահարկում է կախվածության անունների հատումը հանրային և ներքին պահեստներում: Հանրային հասանելի հավելվածներում հարձակվողները գտնում են կորպորատիվ պահոցներից ներբեռնված ներքին NPM փաթեթների մուտքի հետքեր, այնուհետև տեղադրում են նույն անուններով և նոր տարբերակների համարներով փաթեթները հանրային NPM պահոցում: Եթե հավաքման ժամանակ ներքին գրադարանները հստակորեն կապված չեն իրենց պահոցին կարգավորումներում, npm փաթեթի կառավարիչը համարում է հանրային պահոցը ավելի առաջնահերթություն և ներբեռնում է հարձակվողի կողմից պատրաստված փաթեթը:
Ի տարբերություն ներքին փաթեթները կեղծելու նախկինում փաստաթղթավորված փորձերի, որոնք սովորաբար իրականացվում են անվտանգության հետազոտողների կողմից՝ խոշոր ընկերությունների արտադրանքներում խոցելիությունը հայտնաբերելու համար պարգևներ ստանալու համար, հայտնաբերված փաթեթները չեն պարունակում փորձարկման մասին ծանուցումներ և ներառում են մշուշոտ աշխատանքային վնասակար կոդ, որը ներբեռնում և գործարկում է հետևի դուռ՝ տուժածի հեռակառավարման համար։
Հարձակման մեջ ներգրավված փաթեթների ընդհանուր ցանկը չի հաղորդվում, որպես օրինակ, նշվում են միայն gxm-reference-web-auth-server, ldtzstxwzpntxqn և lznfjbhurpjsqmr փաթեթները, որոնք տեղադրվել են boschnodemodules հաշվի տակ NPM պահոցում ավելի նոր տարբերակով: 0.5.70 և 4.0.49 4 համարները, քան սկզբնական ներքին փաթեթները: Դեռ պարզ չէ, թե ինչպես են հարձակվողներին հաջողվել պարզել ներքին գրադարանների անուններն ու տարբերակները, որոնք չեն նշվում բաց պահոցներում։ Ենթադրվում է, որ տեղեկությունը ձեռք է բերվել ներքին տեղեկատվական արտահոսքի արդյունքում։ Հետազոտողները, ովքեր վերահսկում են նոր փաթեթների հրապարակումը, զեկուցել են NPM-ի վարչակազմին, որ վնասակար փաթեթները հայտնաբերվել են դրանց հրապարակումից XNUMX ժամ անց:
Թարմացում. Code White-ը հայտարարել է, որ հարձակումն իրականացվել է իր աշխատակցի կողմից՝ որպես հաճախորդների ենթակառուցվածքի վրա հարձակման համակարգված մոդելավորման մաս: Փորձի ընթացքում իրական հարձակվողների գործողությունները մոդելավորվել են՝ իրականացված անվտանգության միջոցառումների արդյունավետությունը ստուգելու համար։
Source: opennet.ru