A fost dezvăluit un nou lot de pachete NPM rău intenționate create pentru atacuri direcționate asupra companiilor germane Bertelsmann, Bosch, Stihl și DB Schenker. Atacul folosește metoda de amestecare a dependențelor, care manipulează intersecția numelor de dependențe în depozitele publice și interne. În aplicațiile disponibile public, atacatorii găsesc urme de acces la pachetele interne NPM descărcate din depozitele corporative și apoi plasează pachete cu aceleași nume și numere de versiune mai noi în depozitul public NPM. Dacă în timpul asamblarii bibliotecile interne nu sunt legate în mod explicit la depozitul lor în setări, managerul de pachete npm consideră că depozitul public este o prioritate mai mare și descarcă pachetul pregătit de atacator.
Spre deosebire de încercările documentate anterior de falsificare a pachetelor interne, de obicei efectuate de cercetătorii de securitate pentru a primi recompense pentru identificarea vulnerabilităților în produsele marilor companii, pachetele detectate nu conțin notificări despre testare și includ cod rău intenționat de funcționare care descarcă și rulează un backdoor pentru controlul de la distanță al celui afectat.sistem.
Lista generală a pachetelor implicate în atac nu este raportată; de exemplu, sunt menționate doar pachetele gxm-reference-web-auth-server, ldtzstxwzpntxqn și lznfjbhurpjsqmr, care au fost postate sub contul boschnodemodules în depozitul NPM cu versiunea mai nouă. numerele 0.5.70 și 4.0.49 decât pachetele interne originale. Nu este încă clar cum au reușit atacatorii să afle numele și versiunile bibliotecilor interne care nu sunt menționate în depozitele deschise. Se crede că informațiile au fost obținute ca urmare a unor scurgeri de informații interne. Cercetătorii care monitorizează publicarea de noi pachete au raportat administrației NPM că pachetele rău intenționate au fost identificate la 4 ore după ce au fost publicate.
Actualizare: Code White a declarat că atacul a fost efectuat de angajatul său ca parte a unei simulări coordonate a unui atac asupra infrastructurii clienților. În timpul experimentului, acțiunile atacatorilor reali au fost simulate pentru a testa eficacitatea măsurilor de securitate implementate.
Sursa: opennet.ru