Batch anyar saka paket NPM angkoro digawe kanggo serangan diangkah ing perusahaan Jerman Bertelsmann, Bosch, Stihl lan DB Schenker wis dibeberke. Serangan kasebut nggunakake metode campuran dependensi, sing manipulasi persimpangan jeneng dependensi ing repositori umum lan internal. Ing aplikasi sing kasedhiya kanggo umum, panyerang nemokake jejak akses menyang paket NPM internal sing diundhuh saka repositori perusahaan, banjur nyelehake paket kanthi jeneng sing padha lan nomer versi sing luwih anyar ing repositori NPM umum. Yen sajrone ngumpulake perpustakaan internal ora disambungake kanthi jelas menyang repositori ing setelan kasebut, manajer paket npm nganggep repositori umum dadi prioritas sing luwih dhuwur lan ndownload paket sing disiapake dening panyerang.
Ora kaya sing wis didokumentasikake sadurunge nyoba kanggo ngapusi paket internal, biasane ditindakake dening peneliti keamanan kanggo nampa ganjaran kanggo ngenali kerentanan ing produk perusahaan gedhe, paket sing dideteksi ora ngemot kabar babagan tes lan kalebu kode jahat sing bisa digunakake kanggo ndownload lan mbukak. backdoor kanggo remot kontrol sing kena pengaruh sistem.
Dhaptar umum paket sing melu serangan ora dilapurake; contone, mung paket gxm-reference-web-auth-server, ldtzstxwzpntxqn lan lznfjbhurpjsqmr sing kasebut, sing dikirim ing akun boschnodemodules ing repositori NPM kanthi versi sing luwih anyar nomer 0.5.70 lan 4.0.49. 4 saka paket internal asli. Durung jelas kepiye para panyerang bisa nemokake jeneng lan versi perpustakaan internal sing ora kasebut ing repositori sing mbukak. Dipercaya manawa informasi kasebut dipikolehi amarga bocor informasi internal. Peneliti ngawasi publikasi paket anyar sing dilaporake menyang administrasi NPM manawa paket jahat diidentifikasi XNUMX jam sawise diterbitake.
Nganyari: Kode Putih nyatakake yen serangan kasebut ditindakake dening karyawan minangka bagean saka simulasi terkoordinasi serangan ing infrastruktur pelanggan. Sajrone eksperimen, tumindak para panyerang nyata disimulasikan kanggo nguji efektifitas langkah-langkah keamanan sing ditindakake.
Source: opennet.ru