Knihovna JavaScript, která má být knihovna související s Twilio umožnilo instalaci zadních vrát na počítače programátorů Aby útočníkům umožnil přístup k infikovaným pracovním stanicím, byl minulý pátek nahrán do registru npm open source.
Naštěstí, služba detekce malwaru Integrita vydání sonatype rychle detekovala malware, ve třech verzích a v pondělí jej odstranil.
Bezpečnostní tým NPM v pondělí odstranil knihovnu JavaScriptu s názvem „twilio-npm“ z webu npm, protože obsahoval škodlivý kód, který mohl otevřít zadní vrátka na programátorských počítačích.
Balíčky obsahující škodlivý kód se staly opakujícím se tématem v registru kódů JavaScriptu s otevřeným zdrojovým kódem.
Knihovnu JavaScript (a její škodlivé chování) objevil tento víkend Sonatype, který monitoruje úložiště veřejných balíčků jako součást svých bezpečnostních provozních služeb pro DevSecOps.
Ve zprávě vydané v pondělí Sonatype uvedl, že knihovna byla poprvé zveřejněna na web npm v pátek, objevena ve stejný den a odstraněna v pondělí poté, co bezpečnostní tým npm vložil balíček do černá listina.
V registru npm je mnoho legitimních balíčků, které souvisejí s oficiální službou Twilio nebo ji představují.
Podle Axe Sharmy, bezpečnostního inženýra Sonatype, však twilio-npm nemá nic společného se společností Twilio. Twilio do toho není zapojen a nemá nic společného s tímto pokusem o krádež značky. Twilio je přední cloudová komunikační platforma jako služba, která vývojářům umožňuje vytvářet aplikace založené na VoIP, které mohou programově uskutečňovat a přijímat telefonní hovory a textové zprávy.
Oficiální balíček Twilio npm stahování téměř půl milionu týdně, podle inženýra. Jeho vysoká popularita vysvětluje, proč by herci hrozeb mohli mít zájem chytit vývojáře pomocí padělané složky se stejným názvem.
"Balíček Twilio-npm však nevydržel dostatečně dlouho na to, aby oklamal spoustu lidí." Služba Sontatype Release Integrity, která byla nahrána v pátek 30. října, očividně označila kód jako podezřelý o den později - umělá inteligence a strojové učení mají zjevně využití. V pondělí 2. listopadu společnost zveřejnila svá zjištění a kód byl stažen.
I přes krátkou životnost portálu npm byla knihovna podle Sharmy stažena více než 370krát a byla automaticky zahrnuta do projektů JavaScriptu vytvořených a spravovaných prostřednictvím nástroje příkazového řádku npm (Node Package Manager). . A mnoho z těchto počátečních požadavků pravděpodobně pochází ze skenovacích strojů a proxy, jejichž cílem je sledovat změny v registru npm.
Padělaný balíček je malware s jedním souborem a má k dispozici 3 verze ke stažení (1.0.0, 1.0.1 a 1.0.2). Zdá se, že všechny tři verze byly vydány ve stejný den, 30. října. Verze 1.0.0 podle Sharmy moc nedosahuje. Obsahuje pouze malý soubor manifestu package.json, který vytáhne prostředek umístěný v subdoméně ngrok.
ngrok je legitimní služba, kterou vývojáři používají při testování svých aplikací, zejména k otevírání připojení k jejich serverovým aplikacím „localhost“ za NAT nebo firewallem. Avšak od verze 1.0.1 a 1.0.2 má stejný manifest podle Sharmy svůj skript po instalaci upravený tak, aby vykonával zlověstný úkol.
Tím se efektivně otevírá zadní vrátka na počítači uživatele, což útočníkovi poskytuje kontrolu nad napadeným strojem a možnosti vzdáleného provádění kódu (RCE). Sharma uvedl, že překladač reverzních příkazů funguje pouze v operačních systémech založených na UNIXu.
Vývojáři musí změnit ID, tajemství a klíče
Informační zpravodaj npm říká, že vývojáři, kteří mohli nainstalovat škodlivý balíček před jeho odstraněním, jsou ohroženi.
„Jakýkoli počítač, na kterém je tento balíček nainstalován nebo pracuje, by měl být považován za plně kompromitovaný,“ uvedl v pondělí bezpečnostní tým NPM, který potvrdil vyšetřování Sonatype.