ဂျာမန်ကုမ္ပဏီများ Bertelsmann၊ Bosch၊ Stihl နှင့် DB Schenker တို့ကို ပစ်မှတ်ထားတိုက်ခိုက်ရန်အတွက် ဖန်တီးထားသည့် အန္တရာယ်ရှိသော NPM ပက်ကေ့ဂျ်အသစ်တစ်ခုကို ထုတ်ဖော်ပြသလိုက်ပါသည်။ တိုက်ခိုက်မှုသည် အများသူငှာနှင့် အတွင်းပိုင်းသိုလှောင်ရာနေရာများတွင် မှီခိုသူအမည်များ၏ ဆုံစည်းမှုကို ကြိုးကိုင်ပေးသည့် မှီခိုမှုရောစပ်သည့်နည်းလမ်းကို အသုံးပြုထားသည်။ အများသူငှာရရှိနိုင်သော အပလီကေးရှင်းများတွင်၊ တိုက်ခိုက်သူများသည် ကော်ပိုရိတ်သိုလှောင်ရုံများမှ ဒေါင်းလုဒ်လုပ်ထားသော internal NPM ပက်ကေ့ဂျ်များသို့ ဝင်ရောက်ခွင့်ခြေရာခံများကို ရှာဖွေပြီးနောက် အများသူငှာ NPM သိုလှောင်မှုတွင် တူညီသောအမည်များနှင့် ဗားရှင်းအသစ်နံပါတ်များပါသော ပက်ကေ့ဂျ်များကို နေရာချပါ။ စည်းဝေးပွဲအတွင်း အတွင်းစာကြည့်တိုက်များသည် ဆက်တင်များတွင် ၎င်းတို့၏ သိုလှောင်ခန်းနှင့် ပြတ်သားစွာ ချိတ်ဆက်ခြင်းမပြုပါက၊ npm ပက်ကေ့ဂျ်မန်နေဂျာသည် အများသူငှာ သိုလှောင်မှုအား ပိုမိုဦးစားပေးအဖြစ် မှတ်ယူကာ တိုက်ခိုက်သူမှ ပြင်ဆင်ထားသည့် အထုပ်ကို ဒေါင်းလုဒ်လုပ်သည်။
ကုမ္ပဏီကြီးများ၏ ထုတ်ကုန်များတွင် အားနည်းချက်များကို ဖော်ထုတ်ခြင်းအတွက် ဆုလာဘ်များရရှိရန်အတွက် လုံခြုံရေးသုတေသီများက လုပ်ဆောင်လေ့ရှိသည့် အတွင်းပိုင်းပက်ကေ့ဂျ်များကို အတုခိုးရန် ယခင်က မှတ်တမ်းတင်ထားသည့် ကြိုးပမ်းမှုများနှင့် မတူဘဲ၊ ရှာဖွေတွေ့ရှိထားသော ပက်ကေ့ဂျ်များတွင် စမ်းသပ်ခြင်းဆိုင်ရာ အကြောင်းကြားချက်များ မပါဝင်သည့်အပြင် ဒေါင်းလုဒ်လုပ်ကာ လုပ်ဆောင်သည့် ရှုပ်ထွေးနေသော အန္တရာယ်ရှိသော ကုဒ်များ မပါဝင်ပါ။ ထိခိုက်မှုတစ်ခု၏ အဝေးထိန်းစနစ်အတွက် backdoor။
တိုက်ခိုက်မှုတွင်ပါ၀င်သည့် အထွေထွေပက်ကေ့ဂျ်များစာရင်းကို အစီရင်ခံမထားပါ။ ဥပမာအနေဖြင့်၊ ပက်ကေ့ဂျ်များ gxm-reference-web-auth-server၊ ldtzstxwzpntxqn နှင့် lznfjbhurpjsqmr တို့ကို ဖော်ပြထားပြီး၊ ဗားရှင်းအသစ်ဖြင့် boschnodemodules အကောင့်အောက်တွင် ပို့စ်တင်ထားသည့် NPM repository တွင်သာ နံပါတ်များ 0.5.70 နှင့် 4.0.49။ မူရင်းအတွင်းပိုင်းပက်ကေ့ဂျ်များထက် 4။ ပွင့်လင်းသိုလှောင်မှုများတွင် ဖော်ပြခြင်းမရှိသော အတွင်းပိုင်းစာကြည့်တိုက်များ၏ အမည်များနှင့် ဗားရှင်းများကို တိုက်ခိုက်သူများသည် မည်သို့စီမံခန့်ခွဲသည်ကို ရှင်းရှင်းလင်းလင်းမသိရသေးပါ။ သတင်းအချက်အလက် ပေါက်ကြားမှုကြောင့် အချက်အလက်များ ရရှိခဲ့သည်ဟု ယုံကြည်ရသည်။ သုတေသီများသည် NPM အုပ်ချုပ်ရေးသို့ အစီရင်ခံတင်ပြထားသော ပက်ကေ့ခ်ျအသစ်များ ထုတ်ဝေမှုကို စောင့်ကြည့်နေသည့် သုတေသီများက အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျများကို ထုတ်ဝေပြီးနောက် ၄ နာရီအကြာတွင် တွေ့ရှိခဲ့သည်။
အပ်ဒိတ်- Code White က တိုက်ခိုက်မှုသည် ဖောက်သည်အခြေခံအဆောက်အအုံဆိုင်ရာ တိုက်ခိုက်မှုတစ်ခု၏ ပေါင်းစပ်ဆောင်ရွက်မှုတစ်ခု၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် ၎င်း၏ဝန်ထမ်းမှ တိုက်ခိုက်မှုကို လုပ်ဆောင်ခဲ့ကြောင်း ပြောကြားခဲ့သည်။ စမ်းသပ်မှုအတွင်း၊ လုံခြုံရေးအစီအမံများ၏ ထိရောက်မှုကို စမ်းသပ်ရန်အတွက် စစ်မှန်သော တိုက်ခိုက်သူများ၏ လုပ်ဆောင်ချက်များကို တုပထားသည်။
source: opennet.ru