جرمن کمپنیوں Bertelsmann، Bosch، Stihl اور DB Schenker پر ٹارگٹ حملوں کے لیے بنائے گئے نقصان دہ NPM پیکجوں کی ایک نئی کھیپ کا انکشاف ہوا ہے۔ اس حملے میں انحصار مکسنگ کا طریقہ استعمال کیا گیا ہے، جو عوامی اور اندرونی ذخیروں میں انحصار کے ناموں کو جوڑتا ہے۔ عوامی طور پر دستیاب ایپلی کیشنز میں، حملہ آوروں کو کارپوریٹ ریپوزٹریز سے ڈاؤن لوڈ کیے گئے اندرونی NPM پیکجوں تک رسائی کے نشانات ملتے ہیں، اور پھر انہی ناموں اور نئے ورژن نمبروں والے پیکجز کو عوامی NPM ریپوزٹری میں رکھتے ہیں۔ اگر اسمبلی کے دوران اندرونی لائبریریاں واضح طور پر سیٹنگز میں ان کے ذخیرے سے منسلک نہیں ہوتی ہیں، تو npm پیکیج مینیجر عوامی ذخیرے کو اعلیٰ ترجیح سمجھتا ہے اور حملہ آور کے تیار کردہ پیکیج کو ڈاؤن لوڈ کرتا ہے۔
اندرونی پیکجوں کو جعل سازی کرنے کی ماضی میں دستاویزی کوششوں کے برعکس، جو عام طور پر بڑی کمپنیوں کی مصنوعات میں کمزوریوں کی نشاندہی کرنے کے لیے انعامات حاصل کرنے کے لیے سیکیورٹی محققین کے ذریعے کی جاتی ہیں، پتہ چلا پیکجوں میں جانچ کے بارے میں اطلاعات نہیں ہوتی ہیں اور ان میں مبہم کام کرنے والے بدنیتی کوڈ شامل ہوتے ہیں جو ڈاؤن لوڈ اور چلاتے ہیں۔ متاثرہ نظام کے ریموٹ کنٹرول کے لیے بیک ڈور۔
حملے میں ملوث پیکجوں کی عمومی فہرست کی اطلاع نہیں دی گئی ہے؛ مثال کے طور پر، صرف پیکیجز gxm-reference-web-auth-server, ldtzstxwzpntxqn اور lznfjbhurpjsqmr کا ذکر کیا گیا ہے، جو کہ نئے ورژن کے ساتھ NPM ریپوزٹری میں boschnodemodules اکاؤنٹ کے تحت پوسٹ کیے گئے تھے۔ اصل اندرونی پیکجوں کے مقابلے 0.5.70 اور 4.0.49. 4 نمبر۔ ابھی تک یہ واضح نہیں ہے کہ حملہ آور داخلی لائبریریوں کے نام اور ورژن تلاش کرنے میں کیسے کامیاب ہوئے جن کا کھلے ذخیرہ میں ذکر نہیں ہے۔ خیال کیا جاتا ہے کہ یہ معلومات اندرونی معلومات لیک ہونے کے نتیجے میں حاصل کی گئی تھیں۔ نئے پیکجوں کی اشاعت کی نگرانی کرنے والے محققین نے NPM انتظامیہ کو اطلاع دی کہ بدنیتی پر مبنی پیکجوں کی نشاندہی ان کے شائع ہونے کے XNUMX گھنٹے بعد ہوئی۔
اپ ڈیٹ: کوڈ وائٹ نے بتایا کہ یہ حملہ اس کے ملازم نے کسٹمر انفراسٹرکچر پر حملے کے مربوط نقالی کے حصے کے طور پر کیا تھا۔ تجربے کے دوران، نافذ کیے گئے حفاظتی اقدامات کی تاثیر کو جانچنے کے لیے حقیقی حملہ آوروں کی کارروائیوں کو نقل کیا گیا۔
ماخذ: opennet.ru