Ġie żvelat lott ġdid ta 'pakketti NPM malizzjużi maħluqa għal attakki mmirati fuq il-kumpaniji Ġermaniżi Bertelsmann, Bosch, Stihl u DB Schenker. L-attakk juża l-metodu tat-taħlit tad-dipendenza, li jimmanipula l-intersezzjoni tal-ismijiet tad-dipendenza fir-repożitorji pubbliċi u interni. F'applikazzjonijiet disponibbli pubblikament, l-attakkanti jsibu traċċi ta' aċċess għal pakketti interni NPM imniżżla minn repożitorji korporattivi, u mbagħad iqiegħdu pakketti bl-istess ismijiet u numri ta' verżjoni aktar ġodda fir-repożitorju pubbliku tal-NPM. Jekk waqt l-assemblaġġ il-libreriji interni ma jkunux marbuta b'mod espliċitu mar-repożitorju tagħhom fis-settings, il-maniġer tal-pakketti npm iqis li r-repożitorju pubbliku huwa prijorità ogħla u jniżżel il-pakkett ippreparat mill-attakkant.
B'differenza minn tentattivi dokumentati preċedentement ta' falsifikazzjoni ta' pakketti interni, ġeneralment imwettqa minn riċerkaturi tas-sigurtà sabiex jirċievu premjijiet għall-identifikazzjoni ta' vulnerabbiltajiet fil-prodotti ta' kumpaniji kbar, il-pakketti misjuba ma fihomx notifiki dwar l-ittestjar u jinkludu kodiċi malizzjuż ta' ħidma moħbi li jniżżel u jħaddem. backdoor għall-kontroll mill-bogħod tas-sistema waħda affettwata.
Il-lista ġenerali ta' pakketti involuti fl-attakk mhijiex irrappurtata; bħala eżempju, jissemmew biss il-pakketti gxm-reference-web-auth-server, ldtzstxwzpntxqn u lznfjbhurpjsqmr, li ġew imqiegħda taħt il-kont boschnodemodules fir-repożitorju tal-NPM b'verżjoni aktar ġdida numri 0.5.70 u 4.0.49 mill-pakketti interni oriġinali. Għadu mhux ċar kif l-attakkanti rnexxielhom isibu l-ismijiet u l-verżjonijiet tal-libreriji interni li mhumiex imsemmija f’repożitorji miftuħa. Huwa maħsub li l-informazzjoni nkisbet bħala riżultat ta 'tnixxija ta' informazzjoni interna. Riċerkaturi li jimmonitorjaw il-pubblikazzjoni ta’ pakketti ġodda rrappurtaw lill-amministrazzjoni tal-NPM li pakketti malizzjużi ġew identifikati 4 sigħat wara li ġew ippubblikati.
Aġġornament: Code White iddikjara li l-attakk twettaq mill-impjegat tiegħu bħala parti minn simulazzjoni koordinata ta 'attakk fuq l-infrastruttura tal-klijenti. Matul l-esperiment, l-azzjonijiet ta 'attakkanti reali ġew simulati biex tiġi ttestjata l-effettività tal-miżuri ta' sigurtà implimentati.
Sors: opennet.ru