Alman şirketleri Bertelsmann, Bosch, Stihl ve DB Schenker'e yönelik hedefli saldırılar için oluşturulan yeni bir kötü amaçlı NPM paketi grubu ortaya çıktı. Saldırı, genel ve dahili depolardaki bağımlılık adlarının kesişimini manipüle eden bağımlılık karıştırma yöntemini kullanıyor. Saldırganlar, halka açık uygulamalarda kurumsal depolardan indirilen dahili NPM paketlerine erişim izlerini buluyor ve ardından aynı adlara ve daha yeni sürüm numaralarına sahip paketleri genel NPM deposuna yerleştiriyor. Derleme sırasında dahili kütüphaneler ayarlardaki depolarına açıkça bağlanmamışsa, npm paket yöneticisi genel depoyu daha yüksek öncelikli olarak değerlendirir ve saldırgan tarafından hazırlanan paketi indirir.
Genellikle büyük şirketlerin ürünlerindeki güvenlik açıklarını tespit ederek ödül almak amacıyla güvenlik araştırmacıları tarafından gerçekleştirilen, dahili paketleri taklit etmeye yönelik daha önce belgelenen girişimlerden farklı olarak, tespit edilen paketler testlerle ilgili bildirimler içermiyor ve Etkilenen sistemin uzaktan kontrolü için arka kapı.
Saldırıya dahil olan paketlerin genel listesi bildirilmedi; örnek olarak, yalnızca daha yeni sürümle NPM deposundaki boschnodemodules hesabı altında yayınlanan gxm-reference-web-auth-server, ldtzstxwzpntxqn ve lznfjbhurpjsqmr paketlerinden bahsediliyor. orijinal dahili paketlerden 0.5.70 ve 4.0.49 sayıları. Saldırganların açık depolarda belirtilmeyen dahili kütüphanelerin adlarını ve sürümlerini nasıl bulmayı başardıkları henüz belli değil. Bilgilerin iç bilgi sızıntıları sonucu elde edildiğine inanılıyor. Yeni paketlerin yayınlanmasını izleyen araştırmacılar, kötü amaçlı paketlerin yayınlandıktan 4 saat sonra tespit edildiğini NPM yönetimine bildirdi.
Güncelleme: Code White, saldırının müşteri altyapısına yönelik koordineli bir saldırı simülasyonunun parçası olarak çalışanı tarafından gerçekleştirildiğini belirtti. Deney sırasında, uygulanan güvenlik önlemlerinin etkinliğini test etmek için gerçek saldırganların eylemleri simüle edildi.
Kaynak: opennet.ru