ספריית JavaScript, שנועדה להיות ספרייה שקשורה ל- Twilio אפשרה להתקין דלתות אחוריות במחשבי המתכנתים כדי לאפשר לתוקפים לגשת לתחנות עבודה נגועות, הוא הועלה לרישום הקוד הפתוח npm ביום שישי האחרון.
למרבה המזל שירות זיהוי תוכנות זדוניות Sonatype Release Integrity זיהה במהירות את התוכנה הזדונית, בשלוש גרסאות, והסירו אותו ביום שני.
צוות האבטחה של Npm הסיר את ספריית JavaScript ביום שני נקרא "twilio-npm" מאתר npm מכיוון שהוא הכיל קוד זדוני שעלול לפתוח דלתות אחוריות במחשבי המתכנתים.
חבילות המכילות קוד זדוני הפכו לנושא חוזר ברישום קוד הקוד של JavaScript.
ספריית JavaScript (והתנהגותה הזדונית) התגלתה בסוף השבוע על ידי Sonatype, העוקבת אחר מאגרי חבילות ציבוריות כחלק משירותי פעולות האבטחה שלה עבור DevSecOps.
בדיווח שפורסם ביום שני, סונטייפ אמר כי הספרייה פורסמה לראשונה באתר npm ביום שישי, התגלתה באותו יום והוסרה ביום שני לאחר שצוות האבטחה npm הכניס את החבילה לרשימה שחורה.
ישנן חבילות לגיטימיות רבות ברישום ה- npm הקשורות לשירות הרשמי של Twilio או מייצג אותו.
אך על פי אקס שארמה, מהנדס האבטחה של סונטייפ, ל- twilio-npm אין שום קשר לחברת Twilio. טוויליו אינו מעורב ואין לו שום קשר לניסיון גניבת המותג הזה. Twilio היא פלטפורמת תקשורת מבוססת ענן מובילה כשירות המאפשר למפתחים לבנות יישומים מבוססי VoIP שיכולים לבצע ולקבל שיחות טלפון והודעות טקסט באופן פרוגרמטי.
החבילה הרשמית של Twilio npm מוריד כמעט חצי מיליון פעמים בשבוע, לדברי המהנדס. הפופולריות הרבה שלה מסבירה מדוע שחקני איומים עשויים להיות מעוניינים לתפוס מפתחים עם רכיב מזויף באותו שם.
"עם זאת, חבילת Twilio-npm לא החזיקה מעמד מספיק זמן כדי להטעות אנשים רבים. שירות ה- Integrity Release של Sontatype הועלה ביום שישי, 30 באוקטובר, כנראה סימן את הקוד כחשוד כעבור יום - לבינה מלאכותית ולמידת מכונה יש בבירור שימושים. ביום שני, 2 בנובמבר, פרסמה החברה את ממצאיה והקוד בוטל.
למרות אורך החיים הקצר של פורטל npm, הספרייה הורדה יותר מ -370 פעמים ונכללה באופן אוטומטי בפרויקטים של JavaScript שנוצרו ומנוהלים באמצעות כלי שורת הפקודה npm (Node Package Manager), על פי שארמה. ורבות מאותן בקשות ראשוניות מגיעות ככל הנראה ממנועי סריקה ופרוקסי Proxy שמטרתם לעקוב אחר שינויים ברישום ה- npm.
חבילת זיוף הינה תוכנה זדונית לקבצים בודדים ויש לה 3 גרסאות זמינות להורדה (1.0.0, 1.0.1 ו- 1.0.2). נראה כי כל שלוש הגרסאות שוחררו באותו יום, 30 באוקטובר. גרסה 1.0.0 לא משיגה הרבה, על פי שארמה. הוא כולל רק קובץ מניפסט קטן, package.json, החולץ משאב שנמצא בתת-דומיין ngrok.
ngrok הוא שירות לגיטימי שמשתמשים משתמשים בו בעת בדיקת היישום שלהם, במיוחד כדי לפתוח חיבורים ליישומי השרת "localhost" שלהם מאחורי NAT או חומת אש. עם זאת, נכון לגרסאות 1.0.1 ו- 1.0.2, אותו מניפסט שונה את סקריפט לאחר ההתקנה כדי לבצע משימה מרושעת, על פי שארמה.
זה למעשה פותח דלת אחורית במכונת המשתמש, ומעניק לתוקף שליטה על המכונה שנפגעה וביצוע קוד מרחוק (RCE). שארמה אמר כי מתורגמן הפקודה ההפוכה פועל רק במערכות הפעלה מבוססות UNIX.
על מפתחים לשנות תעודות זהות, סודות ומפתחות
הייעוץ של npm אומר כי מפתחים שעשויים להתקין את החבילה הזדונית לפני הסרתה נמצאים בסיכון.
"כל מחשב שעליו מותקנת או פועלת חבילה זו צריך להיחשב כמי שעומד בסכנה מלאה", אמר צוות האבטחה npm ביום שני ואשר את חקירת סונטייפ.