புரோஹோஸ்டர் > Блог > இணைய செய்தி > NPM தொகுப்புகள் மூலம் ஜெர்மன் நிறுவனங்கள் மீது தாக்குதல்

NPM தொகுப்புகள் மூலம் ஜெர்மன் நிறுவனங்கள் மீது தாக்குதல்

ஜெர்மன் நிறுவனங்களான Bertelsmann, Bosch, Stihl மற்றும் DB Schenker மீதான இலக்கு தாக்குதல்களுக்காக உருவாக்கப்பட்ட தீங்கிழைக்கும் NPM தொகுப்புகளின் ஒரு புதிய தொகுதி வெளியிடப்பட்டது. தாக்குதல் சார்பு கலவை முறையைப் பயன்படுத்துகிறது, இது பொது மற்றும் உள் களஞ்சியங்களில் சார்பு பெயர்களின் குறுக்குவெட்டைக் கையாளுகிறது. பொதுவில் கிடைக்கும் பயன்பாடுகளில், கார்ப்பரேட் களஞ்சியங்களில் இருந்து பதிவிறக்கம் செய்யப்பட்ட உள் NPM தொகுப்புகளுக்கான அணுகல் தடயங்களை தாக்குபவர்கள் கண்டறிந்து, பொது NPM களஞ்சியத்தில் அதே பெயர்கள் மற்றும் புதிய பதிப்பு எண்களைக் கொண்ட தொகுப்புகளை வைக்கின்றனர். அசெம்பிளி செய்யும் போது உள்ளக நூலகங்கள் அமைப்புகளில் அவற்றின் களஞ்சியத்துடன் வெளிப்படையாக இணைக்கப்படவில்லை என்றால், npm தொகுப்பு மேலாளர் பொது களஞ்சியத்தை அதிக முன்னுரிமையாகக் கருதி, தாக்குபவர் தயாரித்த தொகுப்பைப் பதிவிறக்குகிறார்.

பெரிய நிறுவனங்களின் தயாரிப்புகளில் உள்ள பாதிப்புகளைக் கண்டறிவதற்காக வெகுமதிகளைப் பெறுவதற்காக, பொதுவாக பாதுகாப்பு ஆய்வாளர்களால் மேற்கொள்ளப்படும் உள் தொகுப்புகளை ஏமாற்றுவதற்கு முன்னர் ஆவணப்படுத்தப்பட்ட முயற்சிகளைப் போலல்லாமல், கண்டறியப்பட்ட தொகுப்புகளில் சோதனை பற்றிய அறிவிப்புகள் இல்லை மற்றும் தெளிவற்ற வேலை செய்யும் தீங்கிழைக்கும் குறியீட்டை பதிவிறக்கம் செய்து இயக்கும். பாதிக்கப்பட்ட ஒரு கணினியின் ரிமோட் கண்ட்ரோலுக்கான பின்கதவு.

தாக்குதலில் ஈடுபட்ட தொகுப்புகளின் பொதுவான பட்டியல் தெரிவிக்கப்படவில்லை; உதாரணமாக, gxm-reference-web-auth-server, ldtzstxwzpntxqn மற்றும் lznfjbhurpjsqmr ஆகிய தொகுப்புகள் மட்டுமே குறிப்பிடப்பட்டுள்ளன, அவை புதிய பதிப்பில் NPM களஞ்சியத்தில் boschnodemodules கணக்கில் வெளியிடப்பட்டன. அசல் உள் தொகுப்புகளை விட 0.5.70 மற்றும் 4.0.49. 4 எண்கள். திறந்த களஞ்சியங்களில் குறிப்பிடப்படாத உள் நூலகங்களின் பெயர்கள் மற்றும் பதிப்புகளை தாக்குபவர்கள் எவ்வாறு கண்டுபிடிக்க முடிந்தது என்பது இன்னும் தெளிவாகத் தெரியவில்லை. உள்ளக தகவல்கள் கசிந்ததன் விளைவாக இந்த தகவல் கிடைத்ததாக நம்பப்படுகிறது. புதிய தொகுப்புகளின் வெளியீட்டைக் கண்காணிக்கும் ஆராய்ச்சியாளர்கள், அவை வெளியிடப்பட்ட XNUMX மணி நேரத்திற்குப் பிறகு தீங்கிழைக்கும் தொகுப்புகள் அடையாளம் காணப்பட்டதாக NPM நிர்வாகத்திடம் தெரிவிக்கப்பட்டது.

புதுப்பிப்பு: வாடிக்கையாளர் உள்கட்டமைப்பு மீதான தாக்குதலின் ஒருங்கிணைந்த உருவகப்படுத்துதலின் ஒரு பகுதியாக இந்தத் தாக்குதல் அதன் ஊழியரால் நடத்தப்பட்டது என்று கோட் ஒயிட் கூறியது. சோதனையின் போது, ​​செயல்படுத்தப்பட்ட பாதுகாப்பு நடவடிக்கைகளின் செயல்திறனை சோதிக்க உண்மையான தாக்குபவர்களின் செயல்கள் உருவகப்படுத்தப்பட்டன.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்