Është zbuluar një grup i ri i paketave NPM me qëllim të keq të krijuar për sulme të synuara ndaj kompanive gjermane Bertelsmann, Bosch, Stihl dhe DB Schenker. Sulmi përdor metodën e përzierjes së varësisë, e cila manipulon kryqëzimin e emrave të varësisë në depo publike dhe të brendshme. Në aplikacionet e disponueshme publikisht, sulmuesit gjejnë gjurmë të aksesit në paketat e brendshme NPM të shkarkuara nga depot e korporatave dhe më pas vendosin paketa me të njëjtat emra dhe numra versionesh më të rinj në depon publike të NPM. Nëse gjatë montimit bibliotekat e brendshme nuk janë të lidhura në mënyrë eksplicite me depon e tyre në cilësimet, menaxheri i paketave npm e konsideron depon publike si një prioritet më të lartë dhe shkarkon paketën e përgatitur nga sulmuesi.
Ndryshe nga përpjekjet e dokumentuara më parë për të mashtruar paketat e brendshme, të kryera zakonisht nga studiues të sigurisë për të marrë shpërblime për identifikimin e dobësive në produktet e kompanive të mëdha, paketat e zbuluara nuk përmbajnë njoftime në lidhje me testimin dhe përfshijnë kodin keqdashës pune të turbullt që shkarkon dhe ekzekuton një porta e pasme për telekomandë të sistemit të prekur.
Lista e përgjithshme e paketave të përfshira në sulm nuk raportohet; si shembull, përmenden vetëm paketat gxm-reference-web-auth-server, ldtzstxwzpntxqn dhe lznfjbhurpjsqmr, të cilat u postuan nën llogarinë boschnodemodules në depon e NPM me version më të ri. numrat 0.5.70 dhe 4.0.49 4 se paketat e brendshme origjinale. Nuk është ende e qartë se si sulmuesit arritën të zbulojnë emrat dhe versionet e bibliotekave të brendshme që nuk përmenden në depot e hapura. Besohet se informacioni është marrë si rezultat i rrjedhjeve të brendshme të informacionit. Studiuesit që monitoruan publikimin e paketave të reja i raportuan administratës së MKPT-së se paketat me qëllim të keq u identifikuan XNUMX orë pas publikimit të tyre.
Përditësimi: Code White deklaroi se sulmi u krye nga punonjësi i tij si pjesë e një simulimi të koordinuar të një sulmi në infrastrukturën e klientit. Gjatë eksperimentit, veprimet e sulmuesve të vërtetë u simuluan për të testuar efektivitetin e masave të sigurisë të zbatuara.
Burimi: opennet.ru