NPM ప్యాకేజీల ద్వారా జర్మన్ కంపెనీలపై దాడి

జర్మన్ కంపెనీలైన బెర్టెల్స్‌మాన్, బాష్, స్టిహ్ల్ మరియు DB షెంకర్‌లపై లక్షిత దాడుల కోసం సృష్టించబడిన కొత్త బ్యాచ్ హానికరమైన NPM ప్యాకేజీలు బహిర్గతం చేయబడ్డాయి. దాడి డిపెండెన్సీ మిక్సింగ్ పద్ధతిని ఉపయోగిస్తుంది, ఇది పబ్లిక్ మరియు అంతర్గత రిపోజిటరీలలో డిపెండెన్సీ పేర్ల ఖండనను తారుమారు చేస్తుంది. పబ్లిక్‌గా అందుబాటులో ఉన్న అప్లికేషన్‌లలో, దాడి చేసేవారు కార్పొరేట్ రిపోజిటరీల నుండి డౌన్‌లోడ్ చేయబడిన అంతర్గత NPM ప్యాకేజీలకు యాక్సెస్ జాడలను కనుగొంటారు, ఆపై పబ్లిక్ NPM రిపోజిటరీలో అదే పేర్లు మరియు కొత్త వెర్షన్ నంబర్‌లతో ప్యాకేజీలను ఉంచండి. అసెంబ్లీ సమయంలో అంతర్గత లైబ్రరీలు సెట్టింగులలో వాటి రిపోజిటరీకి స్పష్టంగా లింక్ చేయబడకపోతే, npm ప్యాకేజీ మేనేజర్ పబ్లిక్ రిపోజిటరీని అధిక ప్రాధాన్యతగా పరిగణించి, దాడి చేసేవారు తయారుచేసిన ప్యాకేజీని డౌన్‌లోడ్ చేస్తారు.

పెద్ద కంపెనీల ఉత్పత్తుల్లోని దుర్బలత్వాలను గుర్తించినందుకు రివార్డ్‌లను పొందేందుకు భద్రతా పరిశోధకులు సాధారణంగా నిర్వహించే అంతర్గత ప్యాకేజీలను మోసగించడానికి గతంలో డాక్యుమెంట్ చేసిన ప్రయత్నాల మాదిరిగా కాకుండా, గుర్తించబడిన ప్యాకేజీలు టెస్టింగ్ గురించి నోటిఫికేషన్‌లను కలిగి ఉండవు మరియు డౌన్‌లోడ్ చేసి అమలు చేసే అస్పష్టమైన పని చేసే హానికరమైన కోడ్‌ను కలిగి ఉంటాయి. ప్రభావిత వ్యవస్థ యొక్క రిమోట్ కంట్రోల్ కోసం బ్యాక్‌డోర్.

దాడిలో పాల్గొన్న ప్యాకేజీల యొక్క సాధారణ జాబితా నివేదించబడలేదు; ఉదాహరణగా, gxm-reference-web-auth-server, ldtzstxwzpntxqn మరియు lznfjbhurpjsqmr ప్యాకేజీలు మాత్రమే పేర్కొనబడ్డాయి, ఇవి కొత్త వెర్షన్‌తో NPM రిపోజిటరీలోని బోష్నోడ్మోడ్యూల్స్ ఖాతాలో పోస్ట్ చేయబడ్డాయి. అసలు అంతర్గత ప్యాకేజీల కంటే 0.5.70 మరియు 4.0.49. 4 సంఖ్యలు. ఓపెన్ రిపోజిటరీలలో పేర్కొనబడని అంతర్గత లైబ్రరీల పేర్లు మరియు సంస్కరణలను దాడి చేసేవారు ఎలా కనుగొనగలిగారు అనేది ఇంకా స్పష్టంగా తెలియలేదు. అంతర్గత సమాచారం లీకేజీల వల్లే ఈ సమాచారం అందినట్లు భావిస్తున్నారు. కొత్త ప్యాకేజీల ప్రచురణను పర్యవేక్షిస్తున్న పరిశోధకులు NPM పరిపాలనకు నివేదించిన హానికరమైన ప్యాకేజీలు ప్రచురించబడిన XNUMX గంటల తర్వాత గుర్తించబడ్డాయి.

అప్‌డేట్: కస్టమర్ ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడి యొక్క సమన్వయ అనుకరణలో భాగంగా తన ఉద్యోగి ఈ దాడిని నిర్వహించాడని కోడ్ వైట్ పేర్కొంది. ప్రయోగం సమయంలో, అమలు చేయబడిన భద్రతా చర్యల ప్రభావాన్ని పరీక్షించడానికి నిజమైన దాడి చేసేవారి చర్యలు అనుకరించబడ్డాయి.

మూలం: opennet.ru