Ipele tuntun ti awọn idii NPM irira ti a ṣẹda fun awọn ikọlu ìfọkànsí lori awọn ile-iṣẹ Jamani Bertelsmann, Bosch, Stihl ati DB Schenker ti ṣafihan. Ikọlu naa nlo ọna adapọ igbẹkẹle, eyiti o ṣe ifọwọyi ikorita ti awọn orukọ igbẹkẹle ni gbangba ati awọn ibi ipamọ inu. Ninu awọn ohun elo ti o wa ni gbangba, awọn ikọlu wa awọn itọpa iraye si awọn idii NPM inu ti a ṣe igbasilẹ lati awọn ibi ipamọ ile-iṣẹ, ati lẹhinna gbe awọn idii pẹlu awọn orukọ kanna ati awọn nọmba ẹya tuntun ni ibi ipamọ NPM ita gbangba. Ti lakoko apejọ awọn ile-ikawe inu ko ni asopọ ni gbangba si ibi ipamọ wọn ninu awọn eto, oluṣakoso package npm ka ibi ipamọ gbogbo eniyan jẹ pataki ti o ga julọ ati ṣe igbasilẹ package ti a pese silẹ nipasẹ ikọlu.
Ko dabi awọn igbiyanju ti a ti gbasilẹ tẹlẹ lati sọ awọn idii inu inu, nigbagbogbo ṣe nipasẹ awọn oniwadi aabo lati le gba awọn ere fun idamo awọn ailagbara ninu awọn ọja ti awọn ile-iṣẹ nla, awọn idii ti a rii ko ni awọn iwifunni ninu idanwo ati pẹlu koodu irira ṣiṣẹ obfuscated ti o ṣe igbasilẹ ati ṣiṣe a backdoor fun isakoṣo latọna jijin ti awọn tókàn eto.
Atokọ gbogbogbo ti awọn idii ti o kopa ninu ikọlu naa ko ṣe ijabọ; awọn nọmba 0.5.70 ati 4.0.49 ju awọn atilẹba ti abẹnu jo. Ko tii ṣe afihan bi awọn ikọlu naa ṣe ṣakoso lati wa awọn orukọ ati awọn ẹya ti awọn ile-ikawe inu ti a ko mẹnuba ninu awọn ibi ipamọ ṣiṣi. O gbagbọ pe a gba alaye naa bi abajade ti awọn n jo alaye inu. Awọn oniwadi n ṣakiyesi atẹjade ti awọn idii tuntun royin si iṣakoso NPM pe awọn idii irira jẹ idanimọ awọn wakati 4 lẹhin ti wọn tẹjade.
Imudojuiwọn: koodu White sọ pe ikọlu naa jẹ nipasẹ oṣiṣẹ rẹ gẹgẹbi apakan ti iṣeṣiro iṣakojọpọ ti ikọlu lori awọn amayederun alabara. Lakoko idanwo naa, awọn iṣe ti awọn ikọlu gidi jẹ afarawe lati ṣe idanwo imunadoko ti awọn igbese aabo imuse.
orisun: opennet.ru