Ujawniono nową partię szkodliwych pakietów NPM stworzonych w celu ataków ukierunkowanych na niemieckie firmy Bertelsmann, Bosch, Stihl i DB Schenker. Atak wykorzystuje metodę mieszania zależności, która manipuluje przecięciem nazw zależności w repozytoriach publicznych i wewnętrznych. W publicznie dostępnych aplikacjach osoby atakujące znajdują ślady dostępu do wewnętrznych pakietów NPM pobranych z repozytoriów korporacyjnych, a następnie umieszczają pakiety o tych samych nazwach i nowszych numerach wersji w publicznym repozytorium NPM. Jeśli podczas montażu biblioteki wewnętrzne nie zostaną jawnie połączone w ustawieniach ze swoim repozytorium, menedżer pakietów npm uzna repozytorium publiczne za wyższy priorytet i pobierze pakiet przygotowany przez atakującego.
W przeciwieństwie do wcześniej udokumentowanych prób fałszowania pakietów wewnętrznych, zwykle przeprowadzanych przez badaczy bezpieczeństwa w celu otrzymania nagród za zidentyfikowanie luk w produktach dużych firm, wykryte pakiety nie zawierają powiadomień o testowaniu i zawierają zaciemniony działający złośliwy kod, który pobiera i uruchamia backdoor do zdalnego sterowania systemem, którego dotyczy problem.
Ogólna lista pakietów biorących udział w ataku nie jest raportowana; jako przykład wymieniono jedynie pakiety gxm-reference-web-auth-server, ldtzstxwzpntxqn i lznfjbhurpjsqmr, które zostały opublikowane pod kontem boschnodemodules w repozytorium NPM z nowszą wersją numery 0.5.70 i 4.0.49 niż oryginalne pakiety wewnętrzne. Nie jest jeszcze jasne, w jaki sposób atakującym udało się poznać nazwy i wersje bibliotek wewnętrznych, które nie są wymienione w otwartych repozytoriach. Uważa się, że informacje uzyskano w wyniku wewnętrznych wycieków informacji. Badacze monitorujący publikację nowych pakietów zgłosili administracji NPM, że szkodliwe pakiety zostały zidentyfikowane 4 godziny po ich opublikowaniu.
Aktualizacja: Code White stwierdziło, że atak został przeprowadzony przez jego pracownika w ramach skoordynowanej symulacji ataku na infrastrukturę klienta. W trakcie eksperymentu symulowano działania prawdziwych napastników, aby sprawdzić skuteczność wdrożonych zabezpieczeń.
Źródło: opennet.ru