Razkrita je bila nova serija zlonamernih paketov NPM, ustvarjenih za ciljane napade na nemška podjetja Bertelsmann, Bosch, Stihl in DB Schenker. Napad uporablja metodo mešanja odvisnosti, ki manipulira s presečiščem imen odvisnosti v javnih in notranjih repozitorijih. V javno dostopnih aplikacijah napadalci najdejo sledi dostopa do notranjih paketov NPM, ki so jih prenesli iz korporativnih repozitorijev, nato pa pakete z istimi imeni in novejšimi številkami različic postavijo v javno repozitorij NPM. Če med sestavljanjem notranje knjižnice niso izrecno povezane s svojim repozitorijem v nastavitvah, upravitelj paketov npm meni, da ima javni repozitorij višjo prioriteto in prenese paket, ki ga je pripravil napadalec.
Za razliko od predhodno dokumentiranih poskusov ponarejanja notranjih paketov, ki jih običajno izvajajo varnostni raziskovalci, da bi prejeli nagrade za odkrivanje ranljivosti v izdelkih velikih podjetij, odkriti paketi ne vsebujejo obvestil o testiranju in vključujejo zakrito delujočo zlonamerno kodo, ki prenaša in izvaja zadnja vrata za daljinski nadzor prizadetega sistema.
Splošni seznam paketov, vključenih v napad, ni naveden; kot primer so navedeni le paketi gxm-reference-web-auth-server, ldtzstxwzpntxqn in lznfjbhurpjsqmr, ki so bili objavljeni pod računom boschnodemodules v repozitoriju NPM z novejšo različico. številki 0.5.70 in 4.0.49 kot originalni notranji paketi. Ni še jasno, kako je napadalcem uspelo izvedeti imena in različice notranjih knjižnic, ki niso omenjene v odprtih repozitorijih. Domneva se, da so bili podatki pridobljeni zaradi notranjega uhajanja informacij. Raziskovalci, ki spremljajo objavo novih paketov, so administraciji NPM sporočili, da so bili zlonamerni paketi identificirani 4 ure po objavi.
Posodobitev: Code White je izjavil, da je napad izvedel njegov uslužbenec kot del usklajene simulacije napada na infrastrukturo strank. Med poskusom so bila simulirana dejanja resničnih napadalcev, da se preizkusi učinkovitost izvedenih varnostnih ukrepov.
Vir: opennet.ru