Германиянын Bertelsmann, Bosch, Stihl жана DB Schenker компанияларына багытталган чабуулдар үчүн түзүлгөн зыяндуу NPM пакеттеринин жаңы партиясы ачыкка чыкты. Чабуул көз карандылыкты аралаштыруу ыкмасын колдонот, ал жалпы жана ички репозиторийлердеги көз карандылыктын аталыштарынын кесилишин манипуляциялайт. Жалпыга жеткиликтүү тиркемелерде чабуулчулар корпоративдик репозиторийлерден жүктөлүп алынган ички NPM пакеттерине кирүүнүн изин таап, андан кийин бирдей аталыштагы жана жаңыраак версия номерлери менен пакеттерди жалпы КЭУБ репозиторийине жайгаштырышат. Эгерде чогултуу учурунда ички китепканалар жөндөөлөрдөгү алардын репозиторийине ачык байланыштырылбаса, npm пакетинин менеджери коомдук репозиторийди артыкчылыктуу деп эсептейт жана чабуулчу даярдаган топтомду жүктөп алат.
Мурда документтештирилген ички пакеттерди бурмалоо аракеттеринен айырмаланып, көбүнчө ири компаниялардын өнүмдөрүндөгү аялуу жерлерди аныктоо үчүн сыйлыктарды алуу үчүн коопсуздук изилдөөчүлөрү тарабынан ишке ашырылган, табылган пакеттерде тестирлөө жөнүндө эскертмелер жок жана аларды жүктөп алып, иштеткен бүдөмүк иштеген зыяндуу код камтылган. жабыр тартканды алыстан башкаруу үчүн арткы эшик.
Чабуулга катышкан пакеттердин жалпы тизмеси билдирилген эмес; Мисал катары, жаңы версиясы менен NPM репозиторийиндеги boschnodemodules эсебинде жайгаштырылган gxm-reference-web-auth-server, ldtzstxwzpntxqn жана lznfjbhurpjsqmr пакеттери гана айтылган. баштапкы ички пакеттерге караганда 0.5.70 жана 4.0.49 сандары. Чабуулчулар ачык репозиторийлерде айтылбаган ички китепканалардын аталыштарын жана версияларын кантип таап алганы азырынча белгисиз. Маалымат ички маалыматтардын сыртка чыгып кетишинин натыйжасында алынган деп болжолдонууда. Жаңы пакеттердин жарыяланышын көзөмөлдөгөн изилдөөчүлөр УПМ администрациясына зыяндуу пакеттер жарыялангандан 4 саат өткөндөн кийин аныкталганын билдиришкен.
Жаңыртуу: Код Уайт чабуул өзүнүн кызматкери тарабынан кардар инфраструктурасына кол салуунун координацияланган симуляциясынын бир бөлүгү катары жасалганын билдирди. Эксперименттин жүрүшүндө, коопсуздук чараларынын натыйжалуулугун текшерүү үчүн чыныгы чабуулчулардын аракеттери окшоштурулган.
Source: opennet.ru