Satu kumpulan baharu pakej NPM berniat jahat yang dicipta untuk serangan yang disasarkan ke atas syarikat Jerman Bertelsmann, Bosch, Stihl dan DB Schenker telah didedahkan. Serangan menggunakan kaedah pencampuran kebergantungan, yang memanipulasi persilangan nama kebergantungan dalam repositori awam dan dalaman. Dalam aplikasi yang tersedia secara umum, penyerang mencari kesan akses kepada pakej NPM dalaman yang dimuat turun daripada repositori korporat, dan kemudian meletakkan pakej dengan nama yang sama dan nombor versi yang lebih baharu dalam repositori NPM awam. Jika semasa pemasangan perpustakaan dalaman tidak dipautkan secara eksplisit kepada repositori mereka dalam tetapan, pengurus pakej npm menganggap repositori awam sebagai keutamaan yang lebih tinggi dan memuat turun pakej yang disediakan oleh penyerang.
Tidak seperti percubaan yang didokumenkan sebelum ini untuk memalsukan pakej dalaman, biasanya dilakukan oleh penyelidik keselamatan untuk menerima ganjaran untuk mengenal pasti kelemahan dalam produk syarikat besar, pakej yang dikesan tidak mengandungi pemberitahuan tentang ujian dan termasuk kod jahat berfungsi yang dikelirukan yang memuat turun dan menjalankan pintu belakang untuk kawalan jauh sistem yang terjejas.
Senarai umum pakej yang terlibat dalam serangan tidak dilaporkan; sebagai contoh, hanya pakej gxm-reference-web-auth-server, ldtzstxwzpntxqn dan lznfjbhurpjsqmr disebut, yang telah disiarkan di bawah akaun boschnodemodules dalam repositori NPM dengan versi yang lebih baharu nombor 0.5.70 dan 4.0.49. 4 daripada pakej dalaman asal. Masih belum jelas bagaimana penyerang berjaya mengetahui nama dan versi perpustakaan dalaman yang tidak disebut dalam repositori terbuka. Dipercayai maklumat itu diperoleh hasil daripada kebocoran maklumat dalaman. Penyelidik memantau penerbitan pakej baharu yang dilaporkan kepada pentadbiran NPM bahawa pakej berniat jahat telah dikenal pasti XNUMX jam selepas ia diterbitkan.
Kemas kini: Code White menyatakan bahawa serangan itu dilakukan oleh pekerjanya sebagai sebahagian daripada simulasi terkoordinasi serangan terhadap infrastruktur pelanggan. Semasa percubaan, tindakan penyerang sebenar telah disimulasikan untuk menguji keberkesanan langkah keselamatan yang dilaksanakan.
Sumber: opennet.ru