Пакет от npm, който се маскира като "twilio-npm" и отстъпва място на заден план

JavaScript библиотека, която е предназначена да бъде библиотека, свързана с Twilio позволи да се инсталират задни врати на компютрите на програмистите за да позволи на хакерите да имат достъп до заразени работни станции, то беше качено в регистъра на npm с отворен код миналия петък.

За щастие, услугата за откриване на злонамерен софтуер Sonatype Release Integrity бързо откри злонамерения софтуер, в три версии и го премахна в понеделник.

Екипът за защита на npm премахна JavaScript библиотека в понеделник наречен "twilio-npm" от уебсайта на npm, тъй като съдържаше злонамерен код, който можеше да отваря задни врати на компютрите на програмистите.

Пакетите, съдържащи злонамерен код, се превърнаха в повтаряща се тема в регистъра на JavaScript с отворен код.

Библиотеката на JavaScript (и нейното злонамерено поведение) беше открита този уикенд от Sonatype, която наблюдава публичните хранилища на пакети като част от услугите си за операции за сигурност за DevSecOps.

В доклад, публикуван в понеделник, Sonatype казва, че библиотеката е публикувана за първи път на уебсайта на npm в петък, открита е същия ден и е премахната в понеделник, след като екипът за защита на npm е поставил пакета в черен списък.

В npm регистъра има много легитимни пакети, свързани или представляващи официалната услуга Twilio.

Но според Axe Sharma, инженер по сигурността на Sonatype, twilio-npm няма нищо общо с компанията Twilio. Twilio не е замесен и няма нищо общо с този опит за кражба на марка. Twilio е водеща облачна комуникационна платформа като услуга, която позволява на разработчиците да създават VoIP-базирани приложения, които могат програмно да извършват и получават телефонни обаждания и текстови съобщения.

Официалният пакет от Twilio npm изтегля почти половин милион пъти седмично, според инженера. Неговата голяма популярност обяснява защо актьорите на заплаха може да се интересуват от улов на разработчици с фалшив компонент със същото име.

„Пакетът Twilio-npm обаче не издържа достатъчно дълго, за да заблуди много хора. Качено в петък, 30 октомври, услугата за освобождаване на почтеността на Sontatype очевидно отбеляза кода като подозрителен ден по-късно - изкуственият интелект и машинното обучение очевидно имат приложения. В понеделник, 2 ноември, компанията публикува своите констатации и кодът беше изтеглен.

Въпреки кратката продължителност на живота на портала npm, библиотеката е изтеглена над 370 пъти и автоматично е включена в проекти на JavaScript, създадени и управлявани чрез помощната програма за команден ред npm (Node Package Manager), според Sharma. И много от тези първоначални заявки вероятно идват от сканиращи машини и прокси сървъри, които имат за цел да проследят промените в npm регистъра.

Пакетът за фалшификати е еднофайлов злонамерен софтуер и има 3 налични версии за изтегляне (1.0.0, 1.0.1 и 1.0.2). И трите версии изглежда са пуснати на един и същи ден, 30 октомври. Версия 1.0.0 не постига много, според Sharma. Той включва само малък файл с манифест, package.json, който извлича ресурс, разположен в поддомейн ngrok.

ngrok е легитимна услуга, която разработчиците използват при тестване на своето приложение, особено за отваряне на връзки към техните сървърни приложения „localhost“ зад NAT или защитна стена. Въпреки това, от версии 1.0.1 и 1.0.2, същият манифест има своя скрипт след инсталация, модифициран, за да изпълнява зловеща задача, според Sharma.

Това ефективно отваря задната врата на машината на потребителя, като дава на атакуващия контрол върху компрометираната машина и възможностите за дистанционно изпълнение на код (RCE). Sharma каза, че интерпретаторът на обратни команди работи само на операционни системи, базирани на UNIX.

Разработчиците трябва да променят идентификационни номера, тайни и ключове

Съветът за npm казва, че разработчиците, които може да са инсталирали злонамерения пакет, преди да бъде премахнат, са изложени на риск.

„Всеки компютър, на който е инсталиран или работи този пакет, трябва да се счита за напълно компрометиран“, заяви екипът за защита на npm в понеделник, потвърждавайки разследването на Sonatype.


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.