一批新的惡意 NPM 軟體包已被披露,這些軟體包旨在針對德國公司貝塔斯曼 (Bertelsmann)、博世 (Bosch)、斯蒂爾 (Stihl) 和德鐵信可 (DB Schenker) 進行攻擊。 此攻擊使用依賴項混合方法,該方法操縱公共和內部儲存庫中依賴項名稱的交集。 在公開可用的應用程式中,攻擊者找到從企業儲存庫下載的內部 NPM 套件的存取痕跡,然後將具有相同名稱和較新版本號的套件放入公共 NPM 儲存庫中。 如果在組裝過程中,內部庫未在設定中明確連結到其儲存庫,則 npm 套件管理器會認為公共儲存庫具有更高的優先權,並下載攻擊者準備的套件。
與先前記錄的欺騙內部軟體包的嘗試不同,這些嘗試通常是由安全研究人員進行的,目的是為了獲得識別大公司產品中的漏洞的獎勵,檢測到的軟體包不包含有關測試的通知,並且包含混淆的工作惡意程式碼,這些程式碼下載並執行用於遠端控制受影響系統的後門。
未報告攻擊中涉及的軟體包的一般清單;例如,僅提到了 gxm-reference-web-auth-server、ldtzstxwzpntxqn 和 lznfjbhurpjsqmr 軟體包,這些軟體包發佈在較新版本的 NPM 儲存庫中的 boschnodemodules 帳戶下比原始內部包編號0.5.70 和4.0.49。 目前尚不清楚攻擊者如何找到開放儲存庫中未提及的內部庫的名稱和版本。 據信,該資訊是由於內部資訊外洩而獲得的。 監控新軟體包發布的研究人員向 NPM 管理部門報告稱,惡意軟體包在發布 4 小時後就被識別出來。
更新:Code White 表示,這次攻擊是由其員工實施的,是對客戶基礎設施攻擊的協調模擬的一部分。 在實驗過程中,模擬了真實攻擊者的行為,以測試所實施的安全措施的有效性。
來源: opennet.ru