Une bibliothèque JavaScript, destinée à être une bibliothèque liée à Twilio a autorisé l'installation de portes dérobées sur les ordinateurs des programmeurs Pour permettre aux attaquants d'accéder aux postes de travail infectés, il a été téléchargé dans le registre open source npm vendredi dernier.
Heureusement, le service de détection de malwares Sonatype Release Integrity a rapidement détecté le malware, en trois versions, et supprimée lundi.
L'équipe de sécurité de npm a supprimé une bibliothèque JavaScript lundi nommé "twilio-npm" sur le site Web de npm car il contenait du code malveillant qui pouvait ouvrir des portes dérobées sur les ordinateurs des programmeurs.
Les packages contenant du code malveillant sont devenus un sujet récurrent dans le registre de code JavaScript open source.
La bibliothèque JavaScript (et son comportement malveillant) a été découverte ce week-end par Sonatype, qui surveille les référentiels de paquets publics dans le cadre de ses services d'opérations de sécurité pour DevSecOps.
Dans un rapport publié lundi, Sonatype a déclaré que la bibliothèque avait été publiée pour la première fois sur le site Web de npm vendredi, découverte le même jour et supprimée lundi après que l'équipe de sécurité de npm a mis le paquet sur une liste noire.
Il existe de nombreux packages légitimes dans le registre npm liés ou représentant le service Twilio officiel.
Mais selon Ax Sharma, l'ingénieur sécurité de Sonatype, twilio-npm n'a rien à voir avec la société Twilio. Twilio n'est pas impliqué et n'a rien à voir avec cette tentative de vol de marque. Twilio est une plate-forme de communication cloud leader en tant que service qui permet aux développeurs de créer des applications basées sur la VoIP qui peuvent passer et recevoir par programmation des appels téléphoniques et des messages texte.
Le package officiel de Twilio npm télécharge près d'un demi-million de fois par semaine, selon l'ingénieur. Sa grande popularité explique pourquoi les acteurs de la menace pourraient être intéressés à attraper des développeurs avec un composant contrefait du même nom.
«Cependant, le package Twilio-npm n'a pas duré assez longtemps pour tromper de nombreuses personnes. Mis en ligne le vendredi 30 octobre, le service Release Integrity de Sontatype a apparemment signalé le code comme suspect un jour plus tard - l'intelligence artificielle et l'apprentissage automatique ont clairement des utilisations. Le lundi 2 novembre, la société a publié ses conclusions et le code a été retiré.
Malgré la courte durée de vie du portail npm, la bibliothèque a été téléchargée plus de 370 fois et a été automatiquement incluse dans les projets JavaScript créés et gérés via l'utilitaire de ligne de commande npm (Node Package Manager), selon Sharma. Et bon nombre de ces demandes initiales proviennent probablement de moteurs d'analyse et de proxys qui visent à suivre les modifications apportées au registre npm.
Le paquet contrefait est un logiciel malveillant à fichier unique et a 3 versions disponibles à télécharger (1.0.0, 1.0.1 et 1.0.2). Les trois versions semblent avoir été publiées le même jour, le 30 octobre. La version 1.0.0 ne fait pas grand-chose, selon Sharma. Il inclut juste un petit fichier manifeste, package.json, qui extrait une ressource située dans un sous-domaine ngrok.
ngrok est un service légitime que les développeurs utilisent pour tester leur application, en particulier pour ouvrir des connexions à leurs applications serveur "localhost" derrière NAT ou un pare-feu. Cependant, à partir des versions 1.0.1 et 1.0.2, le même manifeste a son script post-installation modifié pour effectuer une tâche sinistre, selon Sharma.
Cela ouvre effectivement une porte dérobée sur la machine de l'utilisateur, donnant à l'attaquant le contrôle de la machine compromise et des capacités d'exécution de code à distance (RCE). Sharma a déclaré que l'interpréteur de commandes inversées ne fonctionne que sur les systèmes d'exploitation UNIX.
Les développeurs doivent changer les identifiants, les secrets et les clés
L'avis npm indique que les développeurs qui ont peut-être installé le package malveillant avant sa suppression sont en danger.
"Tout ordinateur sur lequel ce package est installé ou fonctionne doit être considéré comme totalement compromis", a déclaré lundi l'équipe de sécurité de npm, confirmant l'enquête de Sonatype.