Bola odhalená nová dávka škodlivých balíkov NPM vytvorených pre cielené útoky na nemecké spoločnosti Bertelsmann, Bosch, Stihl a DB Schenker. Útok využíva metódu miešania závislostí, ktorá manipuluje s priesečníkom názvov závislostí vo verejných a interných úložiskách. Vo verejne dostupných aplikáciách útočníci nájdu stopy prístupu k interným balíkom NPM stiahnutým z podnikových úložísk a potom umiestnia balíky s rovnakými názvami a číslami novších verzií do verejného úložiska NPM. Ak počas zostavovania nie sú interné knižnice explicitne prepojené s ich úložiskom v nastaveniach, správca balíkov npm považuje verejné úložisko za vyššiu prioritu a stiahne balík pripravený útočníkom.
Na rozdiel od predtým zdokumentovaných pokusov o sfalšovanie interných balíkov, ktoré zvyčajne vykonávajú výskumníci v oblasti bezpečnosti s cieľom získať odmeny za identifikáciu zraniteľností v produktoch veľkých spoločností, zistené balíky neobsahujú upozornenia o testovaní a obsahujú zahmlený pracovný škodlivý kód, ktorý stiahne a spustí zadné vrátka na diaľkové ovládanie postihnutého.systém.
Všeobecný zoznam balíkov zapojených do útoku nie je nahlásený; ako príklad sú uvedené iba balíky gxm-reference-web-auth-server, ldtzstxwzpntxqn a lznfjbhurpjsqmr, ktoré boli zverejnené pod účtom boschnodemodules v úložisku NPM s novšou verziou čísla 0.5.70 a 4.0.49 ako pôvodné vnútorné balenia. Zatiaľ nie je jasné, ako sa útočníkom podarilo zistiť názvy a verzie interných knižníc, ktoré nie sú uvedené v otvorených úložiskách. Predpokladá sa, že informácie boli získané v dôsledku vnútorných únikov informácií. Výskumníci monitorujúci zverejňovanie nových balíkov oznámili správe NPM, že škodlivé balíky boli identifikované 4 hodiny po ich zverejnení.
Aktualizácia: Code White uviedol, že útok vykonal jeho zamestnanec v rámci koordinovanej simulácie útoku na zákaznícku infraštruktúru. Počas experimentu boli simulované akcie skutočných útočníkov, aby sa otestovala účinnosť implementovaných bezpečnostných opatrení.
Zdroj: opennet.ru