JavaScript knjižnica, koja je namijenjena knjižnica vezana za Twilio je dopustio instaliranje backdoor-a na računala programera Da bi se napadačima omogućio pristup zaraženim radnim stanicama, stavljen je u otvoreni registar npm prošlog petka.
Srećom, uslugu otkrivanja zlonamjernog softvera Sonatype Release Integrity brzo je otkrio zlonamjerni softver, u tri verzije i uklonio ga u ponedjeljak.
Npm tim za sigurnost uklonio je JavaScript biblioteku u ponedjeljak nazvan "twilio-npm" s web stranice npm jer je sadržavao zlonamjerni kôd koji se mogao otvoriti u pozadini na računalima programera.
Paketi koji sadrže zlonamjerni kôd postali su ponavljajuća tema u registru JavaScript koda otvorenog koda.
JavaScript biblioteku (i njezino zlonamjerno ponašanje) otkrio je ovog vikenda Sonatype, koji nadgleda javna spremišta paketa kao dio svojih sigurnosnih operativnih usluga za DevSecOps.
U izvješću objavljenom u ponedjeljak, Sonatype je rekao da je knjižnica prvi put objavljena na web mjestu npm u petak, otkrivena istog dana i uklonjena u ponedjeljak nakon što je tim za sigurnost npm stavio paket na crnu listu.
U npm registru postoji mnogo legitimnih paketa koji se odnose na službenu uslugu Twilio ili predstavljaju nju.
No, prema Axe Sharmi, Sonatypeovom sigurnosnom inženjeru, twilio-npm nema nikakve veze s tvrtkom Twilio. Twilio nije uključen i nema nikakve veze s ovom pokušajem krađe marke. Twilio je vodeća komunikacijska platforma zasnovana na oblaku kao usluga koja programerima omogućuje izradu aplikacija temeljenih na VoIP-u koje mogu programski upućivati i primati telefonske pozive i tekstualne poruke.
Službeni paket Twilio npm preuzima gotovo pola milijuna puta tjedno, prema inženjeru. Njegova velika popularnost objašnjava zašto bi akteri prijetnje mogli biti zainteresirani za hvatanje programera s krivotvorenom komponentom istog imena.
“Međutim, paket Twilio-npm nije izdržao dovoljno dugo da zavarava mnoge ljude. Prenesena u petak, 30. listopada, Sontatypeova služba za integritet izdanja očito je dan kasnije označila kôd sumnjivim - umjetna inteligencija i strojno učenje očito imaju koristi. U ponedjeljak, 2. studenog, tvrtka je objavila svoje nalaze i kôd je povučen.
Unatoč kratkom životnom vijeku npm portala, knjižnica je preuzeta preko 370 puta i automatski je uključena u JavaScript projekte stvorene i upravljane pomoću uslužnog programa npm naredbenog retka (Node Package Manager), prema Sharmi. A mnogi od tih početnih zahtjeva vjerojatno dolaze od mehanizama za skeniranje i proxyja kojima je cilj pratiti promjene u npm registru.
Paket krivotvorenih datoteka predstavlja malware s jednom datotekom i ima 3 dostupne verzije za preuzimanje (1.0.0, 1.0.1 i 1.0.2). Čini se da su sve tri verzije objavljene istog dana, 30. listopada. Prema Sharmi, verzija 1.0.0 ne postiže puno. Sadrži samo malu manifestnu datoteku, package.json, koja izdvaja resurs smješten u ngrok poddomeni.
ngrok je legitimna usluga koju programeri koriste prilikom testiranja svoje aplikacije, posebno za otvaranje veza s njihovim poslužiteljima "localhost" iza NAT-a ili vatrozida. Međutim, od verzija 1.0.1 i 1.0.2, isti manifest ima svoju skriptu nakon instalacije izmijenjenu da izvrši zlokoban zadatak, prema Sharmi.
To učinkovito otvara backdoor na korisnikovom stroju, pružajući napadaču kontrolu nad ugroženim strojem i mogućnostima daljinskog izvršavanja koda (RCE). Sharma je rekao da tumač obrnutih naredbi radi samo na operativnim sustavima koji se temelje na UNIX-u.
Programeri moraju promijeniti ID-ove, tajne i ključeve
Savjet za npm kaže da su programeri koji su možda instalirali zlonamjerni paket prije uklanjanja u opasnosti.
"Bilo koje računalo na kojem je instaliran ili radi ovaj paket treba smatrati potpuno ugroženim", rekao je u ponedjeljak sigurnosni tim npm-a, potvrđujući istragu Sonatype-a.