జర్మన్ కంపెనీలైన బెర్టెల్స్మాన్, బాష్, స్టిహ్ల్ మరియు DB షెంకర్లపై లక్షిత దాడుల కోసం సృష్టించబడిన కొత్త బ్యాచ్ హానికరమైన NPM ప్యాకేజీలు బహిర్గతం చేయబడ్డాయి. దాడి డిపెండెన్సీ మిక్సింగ్ పద్ధతిని ఉపయోగిస్తుంది, ఇది పబ్లిక్ మరియు అంతర్గత రిపోజిటరీలలో డిపెండెన్సీ పేర్ల ఖండనను తారుమారు చేస్తుంది. పబ్లిక్గా అందుబాటులో ఉన్న అప్లికేషన్లలో, దాడి చేసేవారు కార్పొరేట్ రిపోజిటరీల నుండి డౌన్లోడ్ చేయబడిన అంతర్గత NPM ప్యాకేజీలకు యాక్సెస్ జాడలను కనుగొంటారు, ఆపై పబ్లిక్ NPM రిపోజిటరీలో అదే పేర్లు మరియు కొత్త వెర్షన్ నంబర్లతో ప్యాకేజీలను ఉంచండి. అసెంబ్లీ సమయంలో అంతర్గత లైబ్రరీలు సెట్టింగులలో వాటి రిపోజిటరీకి స్పష్టంగా లింక్ చేయబడకపోతే, npm ప్యాకేజీ మేనేజర్ పబ్లిక్ రిపోజిటరీని అధిక ప్రాధాన్యతగా పరిగణించి, దాడి చేసేవారు తయారుచేసిన ప్యాకేజీని డౌన్లోడ్ చేస్తారు.
పెద్ద కంపెనీల ఉత్పత్తుల్లోని దుర్బలత్వాలను గుర్తించినందుకు రివార్డ్లను పొందేందుకు భద్రతా పరిశోధకులు సాధారణంగా నిర్వహించే అంతర్గత ప్యాకేజీలను మోసగించడానికి గతంలో డాక్యుమెంట్ చేసిన ప్రయత్నాల మాదిరిగా కాకుండా, గుర్తించబడిన ప్యాకేజీలు టెస్టింగ్ గురించి నోటిఫికేషన్లను కలిగి ఉండవు మరియు డౌన్లోడ్ చేసి అమలు చేసే అస్పష్టమైన పని చేసే హానికరమైన కోడ్ను కలిగి ఉంటాయి. ప్రభావిత వ్యవస్థ యొక్క రిమోట్ కంట్రోల్ కోసం బ్యాక్డోర్.
దాడిలో పాల్గొన్న ప్యాకేజీల యొక్క సాధారణ జాబితా నివేదించబడలేదు; ఉదాహరణగా, gxm-reference-web-auth-server, ldtzstxwzpntxqn మరియు lznfjbhurpjsqmr ప్యాకేజీలు మాత్రమే పేర్కొనబడ్డాయి, ఇవి కొత్త వెర్షన్తో NPM రిపోజిటరీలోని బోష్నోడ్మోడ్యూల్స్ ఖాతాలో పోస్ట్ చేయబడ్డాయి. అసలు అంతర్గత ప్యాకేజీల కంటే 0.5.70 మరియు 4.0.49. 4 సంఖ్యలు. ఓపెన్ రిపోజిటరీలలో పేర్కొనబడని అంతర్గత లైబ్రరీల పేర్లు మరియు సంస్కరణలను దాడి చేసేవారు ఎలా కనుగొనగలిగారు అనేది ఇంకా స్పష్టంగా తెలియలేదు. అంతర్గత సమాచారం లీకేజీల వల్లే ఈ సమాచారం అందినట్లు భావిస్తున్నారు. కొత్త ప్యాకేజీల ప్రచురణను పర్యవేక్షిస్తున్న పరిశోధకులు NPM పరిపాలనకు నివేదించిన హానికరమైన ప్యాకేజీలు ప్రచురించబడిన XNUMX గంటల తర్వాత గుర్తించబడ్డాయి.
అప్డేట్: కస్టమర్ ఇన్ఫ్రాస్ట్రక్చర్పై దాడి యొక్క సమన్వయ అనుకరణలో భాగంగా తన ఉద్యోగి ఈ దాడిని నిర్వహించాడని కోడ్ వైట్ పేర్కొంది. ప్రయోగం సమయంలో, అమలు చేయబడిన భద్రతా చర్యల ప్రభావాన్ని పరీక్షించడానికి నిజమైన దాడి చేసేవారి చర్యలు అనుకరించబడ్డాయి.
మూలం: opennet.ru