Германы Bertelsmann, Bosch, Stihl, DB Schenker компаниуд руу чиглэсэн халдлага үйлдэхэд зориулж бүтээсэн NPM-ийн хортой багцын шинэ багцыг ил болголоо. Энэхүү халдлага нь олон нийтийн болон дотоод агуулах дахь хараат байдлын нэрсийн огтлолцлыг зохицуулдаг хамаарлыг холих аргыг ашигладаг. Олон нийтэд нээлттэй программуудад халдагчид корпорацийн агуулахаас татаж авсан дотоод NPM багцуудад нэвтрэх ул мөрийг олж, дараа нь ижил нэртэй, шинэ хувилбарын дугаартай багцуудыг олон нийтийн NPM хадгалах газарт байрлуулдаг. Хэрэв угсрах явцад дотоод номын сангууд тохиргоон дотроос хадгалах газартайгаа шууд холбогдоогүй бол npm багцын менежер нийтийн репозиторийг илүү чухал гэж үзэж, халдагчийн бэлтгэсэн багцыг татаж авдаг.
Аюулгүй байдлын судлаачид томоохон компаниудын бүтээгдэхүүний сул талыг олж илрүүлсэнийхээ төлөө шагнал хүртэх зорилгоор хийдэг өмнө нь баримтжуулсан дотоод багцуудыг хууран мэхлэх оролдлогуудаас ялгаатай нь илрүүлсэн багцууд нь туршилтын тухай мэдэгдэл агуулаагүй бөгөөд программыг татаж авч ажиллуулдаг, нууцлагдсан ажиллаж буй хортой код агуулдаг. нөлөөлөлд өртсөн нэгийг алсаас удирдах арын хаалга.систем.
Халдлагад оролцсон багцуудын ерөнхий жагсаалтыг мэдээлээгүй бөгөөд жишээ болгон зөвхөн шинэ хувилбартай NPM репозитор дахь boschnodemodules дансны доор байрлуулсан gxm-reference-web-auth-server, ldtzstxwzpntxqn болон lznfjbhurpjsqmr багцуудыг дурдсан болно. анхны дотоод багцуудаас 0.5.70 ба 4.0.49. 4 тоо. Халдагчид нээлттэй хадгалах санд дурдаагүй дотоод номын сангийн нэр, хувилбарыг хэрхэн олж мэдсэн нь одоогоор тодорхойгүй байна. Дотоод мэдээлэл алдагдсаны үр дүнд мэдээллийг олж авсан гэж үзэж байна. Шинэ багцын хэвлэлтийг хянаж буй судлаачид NPM-ийн удирдлагад нийтлэгдсэнээс хойш XNUMX цагийн дараа хортой багцыг илрүүлсэн гэж мэдээлсэн.
Шинэчлэлт: Код Уайт энэ халдлагыг үйлчлүүлэгчийн дэд бүтцэд халдсан зохицуулалттай загварчлалын нэг хэсэг болгон өөрийн ажилтан хийсэн гэж мэдэгдэв. Туршилтын үеэр хэрэгжүүлсэн аюулгүй байдлын арга хэмжээний үр нөлөөг шалгахын тулд жинхэнэ халдагч нарын үйлдлийг загварчилсан.
Эх сурвалж: opennet.ru