En ny grupp skadliga NPM-paket skapade för riktade attacker mot de tyska företagen Bertelsmann, Bosch, Stihl och DB Schenker har avslöjats. Attacken använder beroendeblandningsmetoden, som manipulerar skärningspunkten mellan beroendenamn i offentliga och interna arkiv. I offentligt tillgängliga applikationer hittar angripare spår av åtkomst till interna NPM-paket nedladdade från företagsförråd och placerar sedan paket med samma namn och nyare versionsnummer i det offentliga NPM-förrådet. Om de interna biblioteken under montering inte är explicit länkade till deras arkiv i inställningarna, anser npm-pakethanteraren att det offentliga arkivet har högre prioritet och laddar ner paketet som förbereds av angriparen.
Till skillnad från tidigare dokumenterade försök att förfalska interna paket, vanligtvis utförda av säkerhetsforskare för att få belöningar för att identifiera sårbarheter i produkter från stora företag, innehåller de upptäckta paketen inga meddelanden om testning och innehåller förvirrad skadlig kod som laddar ner och kör en bakdörr för fjärrkontroll av det drabbade systemet.
Den allmänna listan över paket inblandade i attacken rapporteras inte; som ett exempel nämns endast paketen gxm-reference-web-auth-server, ldtzstxwzpntxqn och lznfjbhurpjsqmr, som postades under boschnodemodules-kontot i NPM-förvaret med nyare version nummer 0.5.70 och 4.0.49 än de ursprungliga interna förpackningarna. Det är ännu inte klart hur angriparna lyckades ta reda på namn och versioner av interna bibliotek som inte nämns i öppna arkiv. Man tror att informationen har inhämtats till följd av interna informationsläckor. Forskare som övervakar publiceringen av nya paket rapporterade till NPM-administrationen att skadliga paket identifierades 4 timmar efter att de publicerats.
Uppdatering: Code White uppgav att attacken utfördes av dess medarbetare som en del av en koordinerad simulering av en attack mot kundinfrastruktur. Under experimentet simulerades verkliga angripares handlingar för att testa effektiviteten av de implementerade säkerhetsåtgärderna.
Källa: opennet.ru