Eine JavaScript-Bibliothek, die sein soll eine Bibliothek im Zusammenhang mit Mit Twilio konnten Hintertüren auf den Computern der Programmierer installiert werden Damit Angreifer auf infizierte Workstations zugreifen können, wurde es letzten Freitag in die Open-Source-Registrierung von npm hochgeladen.
Glücklicherweise der Malware-Erkennungsdienst Sonatype Release Integrity hat die Malware schnell erkannt. in drei Versionen und am Montag entfernt.
Das npm-Sicherheitsteam hat am Montag eine JavaScript-Bibliothek entfernt wurde auf der npm-Website als "twilio-npm" bezeichnet, da es schädlichen Code enthielt, der Hintertüren auf den Computern von Programmierern öffnen konnte.
Pakete, die schädlichen Code enthalten, sind zu einem wiederkehrenden Thema in der Open Source-JavaScript-Registrierung geworden.
Die JavaScript-Bibliothek (und ihr böswilliges Verhalten) wurde an diesem Wochenende von Sonatype entdeckt, das öffentliche Paket-Repositorys als Teil seiner Sicherheitsoperationsdienste für DevSecOps überwacht.
In einem am Montag veröffentlichten Bericht teilte Sonatype mit, dass die Bibliothek am Freitag erstmals auf der npm-Website veröffentlicht, am selben Tag entdeckt und am Montag entfernt wurde, nachdem das npm-Sicherheitsteam das Paket auf eine schwarze Liste gesetzt hatte.
Es gibt viele legitime Pakete in der npm-Registrierung, die sich auf den offiziellen Twilio-Dienst beziehen oder diesen repräsentieren.
Laut Ax Sharma, dem Sicherheitsingenieur von Sonatype, hat twilio-npm nichts mit der Firma Twilio zu tun. Twilio ist nicht beteiligt und hat nichts mit diesem versuchten Markendiebstahl zu tun. Twilio ist eine führende Cloud-basierte Kommunikationsplattform als Service, mit der Entwickler VoIP-basierte Anwendungen erstellen können, mit denen Anrufe und Textnachrichten programmgesteuert getätigt und empfangen werden können.
Das offizielle Paket von Twilio npm lädt fast eine halbe Million Mal pro Woche herunter, nach Angaben des Ingenieurs. Die große Beliebtheit erklärt, warum Bedrohungsakteure möglicherweise daran interessiert sind, Entwickler mit einer gefälschten Komponente mit demselben Namen zu fangen.
„Das Twilio-npm-Paket hielt jedoch nicht lange genug, um viele Menschen zum Narren zu halten. Der am Freitag, dem 30. Oktober, hochgeladene Release Integrity-Dienst von Sontatype hat den Code einen Tag später offenbar als verdächtig gekennzeichnet - künstliche Intelligenz und maschinelles Lernen haben eindeutig Verwendung. Am Montag, dem 2. November, veröffentlichte das Unternehmen seine Ergebnisse und der Kodex wurde zurückgezogen.
Trotz der kurzen Lebensdauer des npm-Portals wurde die Bibliothek über 370 Mal heruntergeladen und laut Sharma automatisch in JavaScript-Projekte aufgenommen, die über das npm-Befehlszeilenprogramm (Node Package Manager) erstellt und verwaltet wurden. Viele dieser ersten Anfragen kommen wahrscheinlich von Scan-Engines und Proxys, die darauf abzielen, Änderungen an der npm-Registrierung zu verfolgen.
Das gefälschte Paket ist eine Malware für einzelne Dateien und verfügt über 3 verfügbare Versionen zum Herunterladen (1.0.0, 1.0.1 und 1.0.2). Alle drei Versionen scheinen am selben Tag, dem 30. Oktober, veröffentlicht worden zu sein. Laut Sharma bringt Version 1.0.0 nicht viel. Es enthält nur eine kleine Manifestdatei, package.json, die eine Ressource extrahiert, die sich in einer ngrok-Subdomäne befindet.
ngrok ist ein legitimer Dienst, den Entwickler beim Testen ihrer Anwendung verwenden, insbesondere um Verbindungen zu ihren "localhost" -Serveranwendungen hinter NAT oder einer Firewall herzustellen. Ab den Versionen 1.0.1 und 1.0.2 wurde das Skript nach der Installation für dasselbe Manifest geändert, um laut Sharma eine unheimliche Aufgabe auszuführen.
Dadurch wird effektiv eine Hintertür auf dem Computer des Benutzers geöffnet, sodass der Angreifer die Kontrolle über den gefährdeten Computer und die RCE-Funktionen (Remote Code Execution) hat. Sharma sagte, dass der Reverse-Command-Interpreter nur auf UNIX-basierten Betriebssystemen funktioniert.
Entwickler müssen IDs, Geheimnisse und Schlüssel ändern
Der npm-Hinweis besagt, dass Entwickler, die das Schadpaket möglicherweise installiert haben, bevor es entfernt wird, gefährdet sind.
"Jeder Computer, auf dem dieses Paket installiert ist oder funktioniert, sollte als vollständig gefährdet angesehen werden", bestätigte das npm-Sicherheitsteam am Montag die Untersuchung von Sonatype.