Er is een nieuwe batch kwaadaardige NPM-pakketten onthuld die zijn gemaakt voor gerichte aanvallen op de Duitse bedrijven Bertelsmann, Bosch, Stihl en DB Schenker. De aanval maakt gebruik van de afhankelijkheidsmixmethode, die de kruising van afhankelijkheidsnamen in openbare en interne opslagplaatsen manipuleert. In openbaar beschikbare applicaties vinden aanvallers sporen van toegang tot interne NPM-pakketten die zijn gedownload uit bedrijfsopslagplaatsen, en plaatsen vervolgens pakketten met dezelfde namen en nieuwere versienummers in de openbare NPM-opslagplaats. Als tijdens de montage de interne bibliotheken niet expliciet aan hun repository zijn gekoppeld in de instellingen, beschouwt de npm-pakketbeheerder de openbare repository als een hogere prioriteit en downloadt hij het pakket dat door de aanvaller is voorbereid.
In tegenstelling tot eerder gedocumenteerde pogingen om interne pakketten te vervalsen, meestal uitgevoerd door beveiligingsonderzoekers om beloningen te ontvangen voor het identificeren van kwetsbaarheden in de producten van grote bedrijven, bevatten de gedetecteerde pakketten geen meldingen over testen en bevatten ze verborgen werkende kwaadaardige code die een programma downloadt en uitvoert. achterdeur voor afstandsbediening van het getroffen systeem.
De algemene lijst met pakketten die bij de aanval betrokken zijn, wordt niet gerapporteerd; als voorbeeld worden alleen de pakketten gxm-reference-web-auth-server, ldtzstxwzpntxqn en lznfjbhurpj²r genoemd, die met een nieuwere versie onder het boschnodemodules-account in de NPM-repository zijn geplaatst nummers 0.5.70 en 4.0.49 dan de originele interne pakketten. Het is nog niet duidelijk hoe de aanvallers de namen en versies van interne bibliotheken hebben weten te achterhalen die niet in open repositories worden vermeld. Er wordt aangenomen dat de informatie is verkregen als gevolg van interne informatielekken. Onderzoekers die de publicatie van nieuwe pakketten monitoren, meldden aan de NPM-administratie dat kwaadaardige pakketten vier uur nadat ze waren gepubliceerd, werden geïdentificeerd.
Update: Code White stelt dat de aanval door zijn medewerker is uitgevoerd als onderdeel van een gecoördineerde simulatie van een aanval op de infrastructuur van klanten. Tijdens het experiment werden de acties van echte aanvallers gesimuleerd om de effectiviteit van de geïmplementeerde beveiligingsmaatregelen te testen.
Bron: opennet.ru