Pustaka JavaScript, yang dimaksudkan untuk menjadi perpustakaan yang terkait dengan Twilio mengizinkan pintu belakang dipasang di komputer pemrogram Untuk memungkinkan penyerang mengakses workstation yang terinfeksi, itu diunggah ke registri npm open source Jumat lalu.
Untunglah layanan deteksi malware Sonatype Release Integrity dengan cepat mendeteksi malware, dalam tiga versi, dan menghapusnya pada hari Senin.
Tim keamanan Npm menghapus perpustakaan JavaScript pada hari Senin bernama "twilio-npm" dari situs web npm karena mengandung kode berbahaya yang dapat membuka pintu belakang di komputer pemrogram.
Paket yang berisi kode berbahaya telah menjadi topik berulang di registri kode JavaScript sumber terbuka.
Pustaka JavaScript (dan perilakunya yang berbahaya) ditemukan akhir pekan ini oleh Sonatype, yang memantau repositori paket publik sebagai bagian dari layanan operasi keamanannya untuk DevSecOps.
Dalam sebuah laporan yang dirilis Senin, Sonatype mengatakan perpustakaan itu pertama kali diterbitkan di situs web npm pada hari Jumat, ditemukan pada hari yang sama, dan dihapus pada hari Senin setelah tim keamanan npm memasukkan paket itu ke dalam daftar hitam.
Ada banyak paket resmi di registri npm yang terkait atau mewakili layanan resmi Twilio.
Tetapi menurut Ax Sharma, insinyur keamanan Sonatype, twilio-npm tidak ada hubungannya dengan perusahaan Twilio. Twilio tidak terlibat dan tidak ada hubungannya dengan percobaan pencurian merek ini. Twilio adalah platform komunikasi berbasis cloud terkemuka sebagai layanan yang memungkinkan pengembang membangun aplikasi berbasis VoIP yang dapat secara terprogram membuat dan menerima panggilan telepon dan pesan teks.
Paket resmi Twilio npm mengunduh hampir setengah juta kali seminggu, menurut insinyur. Popularitasnya yang luar biasa menjelaskan mengapa pelaku ancaman mungkin tertarik untuk menangkap pengembang dengan komponen palsu dengan nama yang sama.
“Namun, paket Twilio-npm tidak bertahan cukup lama untuk menipu banyak orang. Diunggah pada hari Jumat, 30 Oktober, layanan Integritas Rilis Sontatype tampaknya menandai kode tersebut sebagai mencurigakan sehari kemudian - kecerdasan buatan dan pembelajaran mesin jelas memiliki kegunaan. Pada hari Senin, 2 November, perusahaan mempublikasikan temuannya dan kode tersebut ditarik.
Meskipun portal npm berumur pendek, pustaka telah diunduh lebih dari 370 kali dan secara otomatis disertakan dalam proyek JavaScript yang dibuat dan dikelola melalui utilitas baris perintah npm (Pengelola Paket Node), menurut Sharma. Dan banyak dari permintaan awal tersebut kemungkinan besar berasal dari mesin pindai dan proxy yang bertujuan untuk melacak perubahan ke registri npm.
Paket palsu adalah malware file tunggal dan tersedia 3 versi untuk mengunduh (1.0.0, 1.0.1 dan 1.0.2). Ketiga versi tersebut tampaknya telah dirilis pada hari yang sama, 30 Oktober. Versi 1.0.0 tidak mencapai banyak hal, menurut Sharma. Ini hanya menyertakan file manifes kecil, package.json, yang mengekstrak sumber daya yang terletak di subdomain ngrok.
ngrok adalah layanan sah yang digunakan pengembang saat menguji aplikasi mereka, terutama untuk membuka koneksi ke aplikasi server "localhost" mereka di belakang NAT atau firewall. Namun, mulai versi 1.0.1 dan 1.0.2, manifes yang sama memiliki skrip pasca-pemasangan yang dimodifikasi untuk melakukan tugas yang jahat, menurut Sharma.
Ini secara efektif membuka pintu belakang pada mesin pengguna, memberikan kendali penyerang dari mesin yang dikompromikan dan kemampuan eksekusi kode jarak jauh (RCE). Sharma mengatakan bahwa penerjemah perintah balik hanya bekerja pada sistem operasi berbasis UNIX.
Pengembang harus mengubah ID, rahasia, dan kunci
Penasihat npm mengatakan bahwa pengembang yang mungkin telah menginstal paket jahat sebelum dihapus berisiko.
"Komputer mana pun tempat paket ini dipasang atau berfungsi harus dianggap sepenuhnya disusupi," kata tim keamanan npm Senin, membenarkan penyelidikan Sonatype.