JavaScript biblioteka, koja bi trebala biti biblioteka vezana za Twilio je dozvolio instaliranje backdoor-a na računare programera kako bi se napadačima omogućio pristup zaraženim radnim stanicama, otpremljen je u npm registar otvorenog koda prošlog petka.
Na sreću, uslugu otkrivanja zlonamjernog softvera Sonatype Release Integrity brzo je otkrio zlonamjerni softver, u tri verzije i uklonio ga u ponedjeljak.
Tim za sigurnost npm uklonio je JavaScript biblioteku u ponedjeljak nazvan "twilio-npm" sa web lokacije npm jer je sadržavao zlonamjeran kôd koji se mogao otvoriti u pozadini na računarima programera.
Paketi koji sadrže zlonamjerni kod postali su tema koja se ponavlja u registru JavaScript koda otvorenog koda.
JavaScript biblioteku (i njeno zlonamjerno ponašanje) otkrio je ovog vikenda Sonatype, koji nadgleda javna spremišta paketa kao dio svojih sigurnosnih operativnih usluga za DevSecOps.
U izvještaju objavljenom u ponedjeljak, Sonatype je rekao da je knjižnica prvi put postavljena na web stranicu npm u petak, otkrivena istog dana i uklonjena u ponedjeljak nakon što je tim za sigurnost npm stavio paket na crnu listu.
U npm registru postoji mnogo legitimnih paketa koji se odnose na službenu Twilio uslugu ili predstavljaju je.
Ali prema Axe Sharmi, Sonatype-ovom inženjeru zaštite, twilio-npm nema nikakve veze sa kompanijom Twilio. Twilio nije umiješan i nema nikakve veze s ovom pokušajem krađe marke. Twilio je vodeća komunikacijska platforma zasnovana na oblaku kao usluga koja omogućava programerima da kreiraju aplikacije zasnovane na VoIP-u koje mogu programski upućivati i primati telefonske pozive i tekstualne poruke.
Službeni paket Twilio npm preuzima skoro pola miliona puta nedeljno, prema inženjeru. Njegova velika popularnost objašnjava zašto bi akteri prijetnje mogli biti zainteresirani za hvatanje programera s krivotvorenom komponentom istog imena.
„Međutim, paket Twilio-npm nije izdržao dovoljno dugo da zavarava mnoge ljude. Otpremljena u petak, 30. oktobra, Sontatypeova služba za integritet izdanja očito je dan kasnije označila kôd sumnjivim - vještačka inteligencija i mašinsko učenje očito imaju koristi. U ponedjeljak, 2. novembra, kompanija je objavila svoje nalaze i kôd je povučen.
Uprkos kratkom životnom vijeku npm portala, biblioteka je preuzeta preko 370 puta i automatski je uključena u JavaScript projekte kreirane i upravljane pomoću uslužnog programa npm naredbenog retka (Node Package Manager), prema Sharmi. I mnogi od tih početnih zahtjeva vjerovatno dolaze od mehanizama za skeniranje i proxyja kojima je cilj pratiti promjene u npm registru.
Paket krivotvorenih datoteka predstavlja malware s jednom datotekom i ima 3 dostupne verzije za preuzimanje (1.0.0, 1.0.1 i 1.0.2). Čini se da su sve tri verzije objavljene istog dana, 30. oktobra. Verzija 1.0.0 ne postiže puno, prema Sharmi. Sadrži samo malu manifestnu datoteku, package.json, koja izdvaja resurs smješten u ngrok poddomeni.
ngrok je legitimna usluga koju programeri koriste prilikom testiranja svoje aplikacije, posebno za otvaranje veza sa svojim "localhost" poslužiteljskim aplikacijama iza NAT-a ili vatrozida. Međutim, od verzija 1.0.1 i 1.0.2, isti manifest ima svoju skriptu nakon instalacije modificiranu da izvrši zlokoban zadatak, prema Sharmi.
Ovo efikasno otvara backdoor na korisnikovom računaru, pružajući napadaču kontrolu nad ugroženim računarom i mogućnostima daljinskog izvršavanja koda (RCE). Sharma je rekao da tumač obrnutih naredbi radi samo na operativnim sistemima zasnovanim na UNIX-u.
Programeri moraju promijeniti ID-ove, tajne i ključeve
Savjet za npm kaže da su programeri koji su možda instalirali zlonamjeran paket prije nego što je uklonjen u opasnosti.
"Bilo koji računar na kojem je instaliran ili radi ovaj paket treba smatrati potpuno ugroženim", rekao je u ponedjeljak tim za sigurnost npm, potvrđujući istragu Sonatypea.