È stato reso noto un nuovo lotto di pacchetti NPM dannosi creati per attacchi mirati contro le aziende tedesche Bertelsmann, Bosch, Stihl e DB Schenker. L'attacco utilizza il metodo di mixaggio delle dipendenze, che manipola l'intersezione dei nomi delle dipendenze nei repository pubblici e interni. Nelle applicazioni disponibili pubblicamente, gli aggressori trovano tracce di accesso ai pacchetti NPM interni scaricati dai repository aziendali, quindi inseriscono i pacchetti con gli stessi nomi e numeri di versione più recenti nel repository NPM pubblico. Se durante l'assemblaggio le librerie interne non vengono collegate esplicitamente al proprio repository nelle impostazioni, il gestore pacchetti npm considera il repository pubblico come una priorità più alta e scarica il pacchetto preparato dall'aggressore.
A differenza dei tentativi precedentemente documentati di spoofing di pacchetti interni, solitamente effettuati da ricercatori di sicurezza al fine di ricevere ricompense per aver identificato le vulnerabilità nei prodotti di grandi aziende, i pacchetti rilevati non contengono notifiche sui test e includono codice dannoso funzionante offuscato che scarica ed esegue un backdoor per il controllo remoto del sistema interessato.
L'elenco generale dei pacchetti coinvolti nell'attacco non viene riportato; ad esempio vengono menzionati solo i pacchetti gxm-reference-web-auth-server, ldtzstxwzpntxqn e lznfjbhurpjsqmr, che sono stati pubblicati sotto l'account boschnodemodules nel repository NPM con la versione più recente numeri 0.5.70 e 4.0.49 rispetto ai pacchetti interni originali. Non è ancora chiaro come gli aggressori siano riusciti a scoprire i nomi e le versioni delle librerie interne che non sono menzionate nei repository aperti. Si ritiene che le informazioni siano state ottenute a seguito di fughe di informazioni interne. I ricercatori che monitoravano la pubblicazione di nuovi pacchetti hanno riferito all'amministrazione NPM che i pacchetti dannosi erano stati identificati 4 ore dopo la loro pubblicazione.
Aggiornamento: Code White ha dichiarato che l'attacco è stato effettuato da un suo dipendente nell'ambito di una simulazione coordinata di un attacco all'infrastruttura del cliente. Durante l'esperimento sono state simulate le azioni di veri aggressori per testare l'efficacia delle misure di sicurezza implementate.
Fonte: opennet.ru