一批新的恶意 NPM 软件包已被披露,这些软件包旨在针对德国公司贝塔斯曼 (Bertelsmann)、博世 (Bosch)、斯蒂尔 (Stihl) 和德铁信可 (DB Schenker) 进行攻击。 该攻击使用依赖项混合方法,该方法操纵公共和内部存储库中依赖项名称的交集。 在公开可用的应用程序中,攻击者找到从企业存储库下载的内部 NPM 包的访问痕迹,然后将具有相同名称和较新版本号的包放入公共 NPM 存储库中。 如果在组装过程中,内部库未在设置中显式链接到其存储库,则 npm 包管理器会认为公共存储库具有更高的优先级,并下载攻击者准备的包。
与之前记录的欺骗内部软件包的尝试不同,这些尝试通常是由安全研究人员进行的,目的是为了获得识别大公司产品中的漏洞的奖励,检测到的软件包不包含有关测试的通知,并且包含混淆的工作恶意代码,这些代码下载并运行用于远程控制受影响系统的后门。
未报告攻击中涉及的软件包的一般列表;例如,仅提到了 gxm-reference-web-auth-server、ldtzstxwzpntxqn 和 lznfjbhurpjsqmr 软件包,这些软件包发布在较新版本的 NPM 存储库中的 boschnodemodules 帐户下比原始内部包编号 0.5.70 和 4.0.49。 目前尚不清楚攻击者如何找到开放存储库中未提及的内部库的名称和版本。 据信,该信息是由于内部信息泄露而获得的。 监控新软件包发布的研究人员向 NPM 管理部门报告称,恶意软件包在发布 4 小时后就被识别出来。
更新:Code White 表示,此次攻击是由其员工实施的,是对客户基础设施攻击的协调模拟的一部分。 在实验过程中,模拟了真实攻击者的行为,以测试所实施的安全措施的有效性。
来源: opennet.ru