Bertelsmann, Bosch, Stihl және DB Schenker неміс компанияларына бағытталған шабуылдар үшін жасалған зиянды NPM пакеттерінің жаңа партиясы ашылды. Шабуыл жалпы және ішкі репозитарийлердегі тәуелділік атауларының қиылысуын басқаратын тәуелділікті араластыру әдісін пайдаланады. Жалпыға қолжетімді қолданбаларда шабуылдаушылар корпоративтік репозитарийлерден жүктеп алынған ішкі NPM бумаларына кіру іздерін табады, содан кейін жалпы NPM репозиторийіне бірдей атаулары мен жаңарақ нұсқа нөмірлері бар бумаларды орналастырады. Егер құрастыру кезінде ішкі кітапханалар параметрлерде олардың репозиторийімен нақты байланыспаса, npm бума менеджері жалпы репозиторийді жоғарырақ басымдылық деп санайды және шабуылдаушы дайындаған буманы жүктеп алады.
Ірі компаниялардың өнімдерінде осалдықтарды анықтағаны үшін сыйақы алу үшін әдетте қауіпсіздік зерттеушілері жүзеге асыратын бұрын құжатталған ішкі пакеттерді жалғандық әрекеттерінен айырмашылығы, анықталған пакеттерде тестілеу туралы хабарландырулар жоқ және жүктеп алатын және іске қосатын жасырын жұмыс істейтін зиянды код бар. зақымдалған жүйені қашықтан басқаруға арналған бэкдор.
Шабуылға қатысқан пакеттердің жалпы тізімі хабарланбайды; мысал ретінде тек жаңа нұсқасымен NPM репозиторийіндегі boschnodemodules тіркелгісі астында жарияланған gxm-reference-web-auth-server, ldtzstxwzpntxqn және lznfjbhurpjsqmr пакеттері ғана аталды. бастапқы ішкі пакеттерге қарағанда 0.5.70 және 4.0.49 сандары. Шабуылшылардың ашық репозиторийлерде айтылмаған ішкі кітапханалардың атаулары мен нұсқаларын қалай анықтағаны әзірге белгісіз. Ақпарат ішкі ақпараттың ағып кетуі нәтижесінде алынған деген болжам бар. Жаңа пакеттердің жариялануын бақылайтын зерттеушілер NPM әкімшілігіне зиянды пакеттер жарияланғаннан кейін 4 сағаттан кейін анықталғанын хабарлады.
Жаңарту: White Code шабуылды оның қызметкері тұтынушы инфрақұрылымына жасалған шабуылды келісілген модельдеу бөлігі ретінде жасағанын мәлімдеді. Эксперимент барысында жүзеге асырылған қауіпсіздік шараларының тиімділігін тексеру үшін нақты шабуылдаушылардың әрекеттері имитацияланды.
Ақпарат көзі: opennet.ru