جرمن ڪمپنين Bertelsmann، Bosch، Stihl ۽ DB Schenker تي ٽارگيٽ حملن لاء تيار ڪيل بدسلوڪي NPM پيڪيجز جو هڪ نئون بيچ ظاهر ڪيو ويو آهي. حملو انحصار ميڪنگ جو طريقو استعمال ڪري ٿو، جيڪو عوامي ۽ اندروني ذخيرو ۾ انحصار جي نالن جي چونڪ کي ٺاهي ٿو. عوامي طور تي دستياب ايپليڪيشنن ۾، حملو ڪندڙ ڪارپوريٽ ريپوزٽريز مان ڊائون لوڊ ڪيل اندروني NPM پيڪيجز تائين رسائي جا نشان ڳوليندا آهن، ۽ پوءِ عوامي NPM مخزن ۾ ساڳين نالن ۽ نئين ورزن نمبرن سان پيڪيجز رکيا ويندا آهن. جيڪڏهن اسيمبليءَ دوران اندروني لائبريريون واضح طور تي سيٽنگن ۾ انهن جي مخزن سان ڳنڍيل نه هونديون آهن، npm پيڪيج مئنيجر عوامي ذخيري کي اعليٰ ترجيح سمجهي ٿو ۽ حملي ڪندڙ طرفان تيار ڪيل پيڪيج کي ڊائون لوڊ ڪري ٿو.
اندروني پيڪيجز کي چوري ڪرڻ جي اڳئين دستاويزي ڪوششن جي برعڪس، عام طور تي سيڪيورٽي محققن پاران وڏين ڪمپنين جي شين ۾ ڪمزورين جي نشاندهي ڪرڻ لاءِ انعام حاصل ڪرڻ لاءِ، معلوم ٿيل پيڪيجز ۾ جاچ بابت نوٽيفڪيشن شامل نه هوندا آهن ۽ ان ۾ مبهم ڪم ڪندڙ بدسلوڪي ڪوڊ شامل آهن جيڪي ڊائون لوڊ ۽ هلائيندا آهن. متاثر هڪ سسٽم جي ريموٽ ڪنٽرول لاءِ پوئين دروازي.
حملي ۾ ملوث پيڪيجز جي عام فهرست جي رپورٽ نه ڪئي وئي آهي؛ مثال طور، صرف پيڪيجز gxm-reference-web-auth-server, ldtzstxwzpntxqn ۽ lznfjbhurpjsqmr جو ذڪر ڪيو ويو آهي، جيڪي نئين ورزن سان NPM مخزن ۾ boschnodemodules اڪائونٽ هيٺ پوسٽ ڪيا ويا آهن. انگ 0.5.70 ۽ 4.0.49. 4 اصل اندروني پيڪيجز کان. اهو اڃا تائين واضح ناهي ته حملي آور اندروني لائبريرين جا نالا ۽ ورجن ڳولڻ ۾ ڪيئن منظم ٿيا جن جو ذڪر کليل ذخيرو ۾ نه آهي. اهو يقين آهي ته اها معلومات اندروني معلومات جي ليڪ جي نتيجي ۾ حاصل ڪئي وئي هئي. تحقيق ڪندڙ نون پيڪيجز جي اشاعت جي نگراني ڪندڙ اين پي ايم انتظاميه کي ٻڌايو ته خراب پيڪيجز جي سڃاڻپ ڪئي وئي XNUMX ڪلاڪ بعد انهن جي شايع ٿيڻ کان پوء.
تازه ڪاري: ڪوڊ وائيٽ چيو آهي ته حملو ڪيو ويو ان جي ملازم طرفان ڪسٽمر انفراسٽرڪچر تي حملي جي هموار ٿيل تخليق جي حصي جي طور تي. تجربي دوران، حقيقي حملي آورن جا ڪارناما ٺاهيا ويا ته جيئن لاڳو ڪيل حفاظتي قدمن جي اثرائتي جانچ ڪئي وڃي.
جو ذريعو: opennet.ru