Un pacchettu npm chì si mascherava cum'è "twilio-npm" è lasciava piazza à e porte di fondu

Una libreria JavaScript, chì hè destinata à esse una biblioteca ligata à Twilio hà permessu di stallà porte backdoor in l'urdinatori di i prugrammatori Per permettà à l'attaccanti di accede à e stazioni di travagliu infette, hè statu caricatu in u registru open source npm venneri scorsu.

Fortunatamente, u serviziu di rilevazione di malware Sonatype Release Integrity hà scupertu rapidamente u malware, in trè versioni, è l'hà cacciatu luni.

A squadra di securità npm hà rimessu una libreria JavaScript lunedì chjamatu "twilio-npm" da u situ web npm perchè cuntene un codice dannusu chì puderebbe apre porte in l'urdinatore di i prugrammatori.

I pacchetti chì cuntenenu còdice maliziosu sò diventati un sughjettu ricurrente in u registru di codice JavaScript open source.

A libreria JavaScript (è u so cumpurtamentu maliziosu) hè stata scuperta questu weekend da Sonatype, chì monitorizeghja i repositori di pacchetti publichi cum'è parte di i so servizii di operazioni di sicurezza per DevSecOps.

In un raportu publicatu luni, Sonatype hà dettu chì a biblioteca hè stata publicata prima nant'à u situ npm venneri, scuperta u listessu ghjornu, è cacciata u luni dopu chì a squadra di securità npm hà messu u pacchettu in un lista nera.

Ci sò parechji pacchetti legittimi in u registru npm in relazione o chì rapprisenta u serviziu ufficiale Twilio.

Ma sicondu Ax Sharma, ingegnere di securità di Sonatype, twilio-npm ùn hà nunda à chì vede cù a cumpagnia Twilio. Twilio ùn hè micca implicatu è ùn hà nunda à chì vede cù stu tentativu di furto di marca. Twilio hè una piattaforma di cumunicazione in nuvola cum'è un serviziu chì permette à i sviluppatori di custruisce applicazioni basate su VoIP chì ponu fà è riceve programmaticamente chjamate telefoniche è messaghji di testu.

U pacchettu ufficiale di Twilio npm scarica quasi mezu milione di volte à settimana, secondu l'ingegneru. A so alta pupularità spiega perchè l'attori di minaccia puderebbenu esse interessati à catturà sviluppatori cun una falsa componente di u listessu nome.

«Tuttavia, u pacchettu Twilio-npm ùn hà micca tenutu abbastanza longu per ingannà parechje persone. Caricatu venneri, 30 d'ottobre, u serviziu di Integrità di Rilasciu di Sontatype apparentemente hà marcatu u codice cum'è suspittosu un ghjornu dopu - l'intelligenza artificiale è l'apprendimentu automaticu anu chiaramente usi. Luni 2 di nuvembre, a sucietà hà publicatu e so scuperte è u codice hè statu ritiratu.

Malgradu a breve vita di u portale npm, a biblioteca hè stata scaricata più di 370 volte è hè stata automaticamente inclusa in prughjetti JavaScript creati è gestiti per mezu di l'utilità di linea di cummanda npm (Node Package Manager), secondu Sharma. . È parechje di quelle richieste iniziali sò probabilmente venute da motori di scansione è proxy chì anu da traccia di cambià u registru npm.

U pacchettu falsificatu hè un malware unicu file è hà 3 versioni dispunibili da scaricà (1.0.0, 1.0.1 è 1.0.2). Tutte e trè versioni parenu esse state liberate u listessu ghjornu, u 30 d'ottobre. A versione 1.0.0 ùn riesce micca assai, secondu Sharma. Include solu un picculu schedariu manifestu, package.json, chì estrae una risorsa situata in un sottudominiu ngrok.

ngrok hè un serviziu legittimu chì i sviluppatori utilizanu quandu testanu a so applicazione, soprattuttu per apre cunnessioni à e so applicazioni di server "localhost" dietro NAT o un firewall. Tuttavia, à parte di e versioni 1.0.1 è 1.0.2, u listessu manifestu hà u so script post-installazione mudificatu per fà un travagliu sinistru, secondu Sharma.

Questu apre in modu efficace una porta di schernu nantu à a macchina di l'utente, dendu à l'attaccante u cuntrollu di a macchina compromessa è e capacità di esecuzione di codice à distanza (RCE). Sharma hà dettu chì l'interprete di cummandu inversu travaglia solu nantu à i sistemi operativi basati in UNIX.

I sviluppatori devenu cambià ID, secreti è chjave

L'avvisu npm dice chì i sviluppatori chì puderanu avè installatu u pacchettu maliziosu prima ch'ellu sia eliminatu sò in periculu.

"Ogni urdinatore induve stu pacchettu hè installatu o funziona deve esse cunsideratu cumpletamente compromessu", hà dichjaratu luni a squadra di securità npm, cunfirmendu l'inchiesta di Sonatype.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

bool (veru)