Una biblioteca de JavaScript, que pretén ser una biblioteca relacionada amb Twilio permetia instal·lar backdoors en els ordinadors dels programadors per permetre que els atacants accedeixin a les estacions de treball infectades, es va carregar en el registre de codi obert de NPM divendres passat.
Afortunadament, el servei de detecció de malware Release Integrity de Sonatype va detectar ràpidament el malware, en tres versions, i el va eliminar dilluns.
L'equip de seguretat de NPM va eliminar dilluns una biblioteca de JavaScript denominada «twilio-NPM» de la pàgina web de NPM perquè contenia codi maliciós que podia obrir backdoors en els ordinadors dels programadors.
Els paquets que contenen codi maliciós s'han convertit en un tema recurrent en el registre de codi JavaScript de codi obert.
La biblioteca de JavaScript (i el seu comportament maliciós) va ser descobert aquest cap de setmana per Sonatype, que controla els repositoris de paquets públics com a part dels seus serveis d'operacions de seguretat per DevSecOps.
En un informe publicat el dilluns, Sonatype va dir que la biblioteca es va publicar per primera vegada en el lloc web de NPM el divendres, es va descobrir el mateix dia i es va eliminar el dilluns després que l'equip de seguretat de NPM va posar el paquet en una llista negra.
Hi ha molts paquets legítims en el registre NPM relacionats o que representen el servei oficial de Twilio.
Però segons Ax Sharma, enginyer de seguretat de Sonatype, twilio-NPM no té res a veure amb l'empresa Twilio. Twilio no està involucrat i no té res a veure amb aquest intent de robatori de marca. Twilio és una plataforma líder de comunicacions basada en el núvol, com a servei, que permet als desenvolupadors crear aplicacions basades en VoIP que poden fer i rebre trucades telefòniques i missatges de text de manera programable.
El paquet oficial de Twilio NPM es descarrega gairebé mig milió de vegades a la setmana, segons l'enginyer. La seva gran popularitat explica per què els actors d'amenaces podrien estar interessats en atrapar els desenvolupadors amb un component falsificat amb el mateix nom.
"No obstant això, el paquet Twilio-NPM no es va mantenir prou com per enganyar a molta gent. Carregat el divendres 30 d'octubre, el servei Release Integrity de Sontatype aparentment va marcar el codi com a sospitós un dia després: la intel·ligència artificial i l'aprenentatge automàtic clarament tenen usos. El dilluns 2 de novembre, l'empresa va publicar les seves troballes i el codi va ser retirat.
Tot i la curta vida útil de el portal NPM, la biblioteca s'ha descarregat més de 370 vegades i s'ha inclòs automàticament en projectes de JavaScript creats i administrats a través de la utilitat de línia d'ordres NPM (Node Package Manager), segons Sharma . I moltes d'aquestes sol·licituds inicials probablement provenen de motors d'escaneig i proxies que tenen com a objectiu rastrejar els canvis en el registre NPM.
El paquet falsificat és malware d'un sol arxiu i té 3 versions disponibles per descarregar (1.0.0, 1.0.1 i 1.0.2). Les tres versions semblen haver estat llançades el mateix dia, 30 d'octubre. La versió 1.0.0 no aconsegueix molt, segons Sharma. Només inclou un petit arxiu de manifest, package.json, que extreu un recurs ubicat en un subdomini ngrok.
ngrok és un servei legítim que els desenvolupadors usen quan proven la seva aplicació, especialment per obrir connexions a les seves aplicacions de servidor «localhost» darrere de NAT o un firewall. No obstant això, a partir de les versions 1.0.1 i 1.0.2, el mateix manifest té el seu script posterior a la instal·lació modificat per realitzar una tasca sinistra, segons Sharma.
Això obre efectivament un backdoor a la màquina de l'usuari, donant a l'atacant el control de la màquina compromesa i les capacitats d'execució remota de codi (RCE). Sharma va dir que l'intèrpret de comandament invers només funciona en sistemes operatius basats en UNIX.
Els desenvolupadors han de canviar les ID, els secrets i les claus
L'avís de NPM diu que els desenvolupadors que poden haver instal·lat el paquet maliciós abans que s'elimini estan en perill.
«Qualsevol ordinador en què estigui instal·lat aquest paquet o que funcioni s'ha de considerar totalment compromesa», va dir dilluns l'equip de seguretat de NPM, confirmant la investigació de Sonatype.