En ny gruppe med ondsinnede NPM-pakker laget for målrettede angrep på de tyske selskapene Bertelsmann, Bosch, Stihl og DB Schenker er avslørt. Angrepet bruker avhengighetsblandingsmetoden, som manipulerer skjæringspunktet mellom avhengighetsnavn i offentlige og interne depoter. I offentlig tilgjengelige applikasjoner finner angripere spor av tilgang til interne NPM-pakker som er lastet ned fra bedriftens depoter, og plasserer deretter pakker med samme navn og nyere versjonsnumre i det offentlige NPM-lageret. Hvis de interne bibliotekene ikke er eksplisitt knyttet til depotet i innstillingene under monteringen, anser npm-pakkebehandleren det offentlige depotet som en høyere prioritet og laster ned pakken utarbeidet av angriperen.
I motsetning til tidligere dokumenterte forsøk på å forfalske interne pakker, vanligvis utført av sikkerhetsforskere for å motta belønninger for å identifisere sårbarheter i produktene til store selskaper, inneholder de oppdagede pakkene ikke varsler om testing og inkluderer tilslørt fungerende ondsinnet kode som laster ned og kjører en bakdør for fjernkontroll av det berørte systemet.
Den generelle listen over pakker involvert i angrepet er ikke rapportert; som et eksempel er bare pakkene gxm-reference-web-auth-server, ldtzstxwzpntxqn og lznfjbhurpjsqmr nevnt, som ble lagt ut under boschnodemodules-kontoen i NPM-depotet med nyere versjon tall 0.5.70 og 4.0.49 enn de originale interne pakkene. Det er ennå ikke klart hvordan angriperne klarte å finne ut navn og versjoner av interne biblioteker som ikke er nevnt i åpne depoter. Det antas at informasjonen er innhentet som følge av interne informasjonslekkasjer. Forskere som overvåker publisering av nye pakker rapporterte til NPM-administrasjonen at skadelige pakker ble identifisert 4 timer etter at de ble publisert.
Oppdatering: Code White uttalte at angrepet ble utført av den ansatte som del av en koordinert simulering av et angrep på kundeinfrastruktur. Under eksperimentet ble handlingene til ekte angripere simulert for å teste effektiviteten til de implementerte sikkerhetstiltakene.
Kilde: opennet.ru