แพ็คเกจ NPM ที่เป็นอันตรายชุดใหม่ที่สร้างขึ้นสำหรับการโจมตีแบบกำหนดเป้าหมายต่อบริษัทเยอรมัน Bertelsmann, Bosch, Stihl และ DB Schenker ได้รับการเปิดเผยแล้ว การโจมตีใช้วิธีการผสมการพึ่งพา ซึ่งจัดการจุดตัดของชื่อการพึ่งพาในที่เก็บข้อมูลสาธารณะและภายใน ในแอปพลิเคชันที่เปิดเผยต่อสาธารณะ ผู้โจมตีจะค้นหาร่องรอยการเข้าถึงแพ็คเกจ NPM ภายในที่ดาวน์โหลดจากที่เก็บข้อมูลขององค์กร จากนั้นวางแพ็คเกจที่มีชื่อเดียวกันและหมายเลขเวอร์ชันที่ใหม่กว่าในที่เก็บ NPM สาธารณะ หากในระหว่างการประกอบ ไลบรารีภายในไม่ได้เชื่อมโยงกับพื้นที่เก็บข้อมูลอย่างชัดเจนในการตั้งค่า ตัวจัดการแพ็คเกจ npm จะถือว่าพื้นที่เก็บข้อมูลสาธารณะมีลำดับความสำคัญสูงกว่า และดาวน์โหลดแพ็คเกจที่ผู้โจมตีเตรียมไว้
แตกต่างจากความพยายามที่บันทึกไว้ก่อนหน้านี้ในการปลอมแปลงแพ็คเกจภายใน ซึ่งมักจะดำเนินการโดยนักวิจัยด้านความปลอดภัยเพื่อรับรางวัลสำหรับการระบุช่องโหว่ในผลิตภัณฑ์ของบริษัทขนาดใหญ่ แพ็คเกจที่ตรวจพบไม่มีการแจ้งเตือนเกี่ยวกับการทดสอบ และรวมถึงโค้ดที่เป็นอันตรายที่ทำงานสับสนซึ่งดาวน์โหลดและเรียกใช้ แบ็คดอร์สำหรับการควบคุมระยะไกลของระบบที่ได้รับผลกระทบ
รายการแพ็คเกจทั่วไปที่เกี่ยวข้องกับการโจมตีไม่ได้รับการรายงาน ดังตัวอย่าง มีการกล่าวถึงเฉพาะแพ็คเกจ gxm-reference-web-auth-server, ldtzstxwzpntxqn และ lznfjbhurpjsquarer เท่านั้น ซึ่งถูกโพสต์ภายใต้บัญชี boschnodemodules ในพื้นที่เก็บข้อมูล NPM ที่มีเวอร์ชันใหม่กว่า หมายเลข 0.5.70 และ 4.0.49 กว่าแพ็คเกจภายในเดิม ยังไม่ชัดเจนว่าผู้โจมตีจัดการค้นหาชื่อและเวอร์ชันของไลบรารีภายในที่ไม่ได้กล่าวถึงในที่เก็บข้อมูลแบบเปิดได้อย่างไร เชื่อว่าได้รับข้อมูลมาจากการรั่วไหลของข้อมูลภายใน นักวิจัยที่ติดตามการเผยแพร่แพ็คเกจใหม่รายงานต่อฝ่ายบริหาร NPM ว่ามีการระบุแพ็คเกจที่เป็นอันตราย 4 ชั่วโมงหลังจากเผยแพร่
อัปเดต: Code White ระบุว่าการโจมตีดังกล่าวดำเนินการโดยพนักงาน ซึ่งเป็นส่วนหนึ่งของการจำลองการโจมตีโครงสร้างพื้นฐานของลูกค้า ในระหว่างการทดสอบ การกระทำของผู้โจมตีจริงได้รับการจำลองเพื่อทดสอบประสิทธิภาพของมาตรการรักษาความปลอดภัยที่นำมาใช้
ที่มา: opennet.ru