Nýr hópur illgjarnra NPM-pakka sem búin var til fyrir markvissar árásir á þýsku fyrirtækin Bertelsmann, Bosch, Stihl og DB Schenker hefur verið birt. Árásin notar ávanablöndunaraðferðina, sem vinnur á skurðpunktum háðheita í opinberum og innri geymslum. Í almennum tiltækum forritum finna árásarmenn ummerki um aðgang að innri NPM-pökkum sem hlaðið er niður úr fyrirtækjageymslum og setja síðan pakka með sömu nöfnum og nýrri útgáfunúmerum í opinberu NPM-geymsluna. Ef innri bókasöfnin eru ekki beinlínis tengd við geymsluna í stillingunum meðan á samsetningu stendur, telur npm pakkastjórinn opinbera geymsluna hafa meiri forgang og hleður niður pakkanum sem árásarmaðurinn útbýr.
Ólíkt áður skjalfestum tilraunum til að blekkja innri pakka, venjulega framkvæmdar af öryggisrannsakendum til að fá verðlaun fyrir að bera kennsl á veikleika í vörum stórra fyrirtækja, innihalda uppgötvuðu pakkarnir ekki tilkynningar um prófun og innihalda ruglaðan virkan illgjarn kóða sem hleður niður og keyrir a bakdyr fyrir fjarstýringu á viðkomandi kerfi.
Ekki er greint frá almennum lista yfir pakka sem taka þátt í árásinni; sem dæmi eru aðeins pakkarnir gxm-reference-web-auth-server, ldtzstxwzpntxqn og lznfjbhurpjsqmr nefndir, sem voru settir undir boschnodemodules reikninginn í NPM geymslunni með nýrri útgáfu. númer 0.5.70 og 4.0.49 en upprunalegu innri pakkningarnar. Ekki er enn ljóst hvernig árásarmönnum tókst að komast að nöfnum og útgáfum innri bókasöfnum sem ekki eru nefnd í opnum geymslum. Talið er að upplýsinganna hafi verið aflað vegna innri upplýsingaleka. Vísindamenn sem fylgjast með birtingu nýrra pakka tilkynntu NPM-stjórninni að illgjarnir pakkar væru auðkenndir 4 klukkustundum eftir að þeir voru birtir.
Uppfærsla: Code White sagði að árásin hafi verið framkvæmd af starfsmanni sínum sem hluti af samræmdri uppgerð árásar á innviði viðskiptavina. Meðan á tilrauninni stóð var líkt eftir aðgerðum raunverulegra árásarmanna til að prófa virkni útfærðra öryggisráðstafana.
Heimild: opennet.ru