Mõeldud JavaScripti teek seotud raamatukogu Twilio lubas tagaluukide paigaldamise programmeerijate arvutitesse Et ründajatel oleks juurdepääs nakatunud tööjaamadele, laaditi see eelmisel reedel üles avatud lähtekoodiga registrisse npm.
Õnneks pahavara tuvastamise teenus Sonatype Release Integrity tuvastas pahavara kiiresti, kolmes versioonis ja eemaldas selle esmaspäeval.
Npm turvameeskond eemaldas esmaspäeval JavaScripti kogu nimega npm veebisaidilt "twilio-npm", kuna see sisaldas pahatahtlikku koodi, mis võis programmeerijate arvutites tagauksi avada.
Pahatahtlikku koodi sisaldavad paketid on muutunud avatud lähtekoodiga JavaScripti koodide registris korduvaks teemaks.
JavaScripti teegi (ja selle pahatahtliku käitumise) avastas sel nädalavahetusel Sonatype, kes jälgib DevSecOpsi turvaoperatsiooniteenuste osana avalikke paketihoidlaid.
Esmaspäeval avaldatud aruandes ütles Sonatype, et raamatukogu postitati esmakordselt reedel npm-i veebisaidile, avastati samal päeval ja eemaldati esmaspäeval pärast seda, kui npm-i turvameeskond pani paketi must nimekiri.
Npm-registris on palju seaduslikke pakette, mis on seotud Twilio ametliku teenusega või esindavad seda.
Kuid Sonatype turvainseneri Ax Sharma sõnul pole twilio-npm-l Twilio ettevõttega midagi pistmist. Twilio pole sellega seotud ja tal pole selle kaubamärgi varguse katsega midagi pistmist. Twilio on juhtiv pilvepõhine kommunikatsiooniplatvorm kui teenus, mis võimaldab arendajatel luua VoIP-põhiseid rakendusi, mis võimaldavad programmeeritult helistada ja vastu võtta telefonikõnesid ja tekstsõnumeid.
Ametlik pakett Twilio npm laadib nädalas alla peaaegu miljon miljonit korda, inseneri sõnul. Selle suur populaarsus selgitab, miks võivad ohutegijad olla huvitatud arendajate püüdmisest samanimelise võltskomponendiga.
"Kuid Twilio-npm pakett ei pidanud piisavalt kaua vastu, et paljusid inimesi petta. Reedel, 30. oktoobril üles laaditud Sontatype'i teenus Release Integrity märkis ilmselt päeva hiljem koodi kahtlaseks - tehisintellektil ja masinõppel on selgelt kasutusi. Esmaspäeval, 2. novembril avaldas ettevõte oma järeldused ja kood tühistati.
Vaatamata npm portaali lühikesele elueale on teeki Sharma sõnul alla laaditud üle 370 korra ja see on automaatselt kaasatud JavaScripti projektidesse, mis on loodud ja hallatud käsurea utiliidi npm (Node Package Manager) kaudu. . Ja paljud neist algsetest päringutest pärinevad tõenäoliselt skannimismootoritelt ja volikirjadelt, mille eesmärk on jälgida npm-i registri muudatusi.
Võltspakett on ühe failiga pahavara ja sellel on 3 versiooni allalaadimiseks (1.0.0, 1.0.1 ja 1.0.2). Kõik kolm versiooni ilmuvad olevat samal päeval, 30. oktoobril. Sharma sõnul ei saa versioon 1.0.0 palju saavutada. See sisaldab ainult väikest manifestifaili package.json, mis eraldab ressursi, mis asub ngroki alamdomeenis.
ngrok on seaduslik teenus, mida arendajad kasutavad oma rakenduse testimisel, eriti selleks, et avada ühendusi oma "localhost" serverirakendustega NATi või tulemüüri taga. Kuid alates versioonidest 1.0.1 ja 1.0.2 on sama manifesti installimisjärgset skripti modifitseeritud pahatahtliku ülesande täitmiseks, ütles Sharma.
See avab kasutaja masinas tõhusalt tagaukse, andes ründajale kontrolli ohustatud masina ja kaugkoodide täitmise (RCE) võimaluste üle. Sharma ütles, et pöördkäskude tõlk töötab ainult UNIX-põhistel operatsioonisüsteemidel.
Arendajad peavad muutma ID-sid, saladusi ja võtmeid
Npm-i nõuande kohaselt on ohus arendajad, kes võivad pahatahtliku paketi enne selle eemaldamist installida.
"Iga arvutit, millele see pakett on installitud või töötab, tuleks pidada täielikult rikutuks," kinnitas npm turvameeskond esmaspäeval, kinnitades Sonatype'i uurimist.