„Npm“ paketas, kuris užmaskuotas kaip „twilio-npm“ ir leido užpakalinėms durims

Skirta „JavaScript“ biblioteka biblioteka, susijusi su „Twilio“ leido programuotojų kompiuteriuose įrengti galines duris kad užpuolikai galėtų prieiti prie užkrėstų darbo vietų, jis praėjusį penktadienį buvo įkeltas į npm atvirojo kodo registrą.

Laimei, kenkėjiškų programų aptikimo tarnyba „Sonatype Release Integrity“ greitai aptiko kenkėjišką programą, trimis versijomis ir pašalino pirmadienį.

Npm saugos komanda pirmadienį pašalino „JavaScript“ biblioteką pavadintas „twilio-npm“ iš „npm“ svetainės, nes jame buvo kenksmingas kodas, kuris programuotojų kompiuteriuose galėjo atverti užpakalines duris.

Paketai su kenkėjišku kodu tapo pasikartojančia tema atvirojo kodo „JavaScript“ kodų registre.

„JavaScript“ biblioteką (ir jos kenkėjišką elgesį) šį savaitgalį atrado „Sonatype“, kuri stebi viešųjų paketų saugyklas kaip savo „DevSecOps“ saugos operacijų paslaugas.

Pirmadienį paskelbtoje ataskaitoje „Sonatype“ teigė, kad biblioteka pirmą kartą buvo paskelbta „npm“ svetainėje penktadienį, atrasta tą pačią dieną ir pašalinta pirmadienį, kai „npm“ saugumo komanda paketą įtraukė į juodąjį sąrašą.

Npm registre yra daug teisėtų paketų, susijusių su oficialia „Twilio“ paslauga arba atstovaujančia jai.

Tačiau, pasak „Axat Sharma“, „Sonatype“ saugumo inžinieriaus, „twilio-npm“ neturi nieko bendro su „Twilio“ kompanija. „Twilio“ nedalyvauja ir neturi nieko bendro su šiuo bandymu pavogti prekės ženklą. „Twilio“ yra pirmaujanti debesų ryšių platforma, kaip paslauga, leidžianti kūrėjams kurti „VoIP“ programas, kurios gali programiškai atlikti ir priimti telefono skambučius bei tekstinius pranešimus.

Oficialus „Twilio npm“ atsisiunčiama beveik pusę milijono kartų per savaitę, inžinieriaus teigimu. Didelis populiarumas paaiškina, kodėl grėsmių veikėjams gali būti įdomu užgauti kūrėjus padirbtu to paties pavadinimo komponentu.

„Tačiau„ Twilio-npm “paketas nebuvo pakankamai ilgas, kad apgautų daugybę žmonių. Spalio 30 d., Penktadienį, įkelta „Sontatype“ tarnyba „Release Integrity“ po dienos, matyt, pažymėjo kodą kaip įtartiną - dirbtinis intelektas ir mašininis mokymasis aiškiai turi naudos. Pirmadienį, lapkričio 2 d., Bendrovė paskelbė išvadas ir kodas buvo panaikintas.

Nepaisant trumpo „npm“ portalo gyvenimo trukmės, biblioteka buvo atsisiųsta daugiau nei 370 kartų ir, pasak Sharmos, ji buvo automatiškai įtraukta į „JavaScript“ projektus, sukurtus ir valdomus naudojant „npm“ komandinės eilutės įrankį („Node Package Manager“). Daugelis tų pradinių užklausų tikriausiai gaunami iš nuskaitymo variklių ir tarpinių serverių, kuriais siekiama stebėti npm registro pokyčius.

Padirbtas paketas yra vieno failo kenkėjiška programa ir yra 3 versijų atsisiųsti (1.0.0, 1.0.1 ir 1.0.2). Visos trys versijos išleistos tą pačią dieną, spalio 30 d. Pasak Sharmos, 1.0.0 versija nėra daug pasiekusi. Jame yra tik nedidelis aprašo failas „package.json“, kuris išskiria išteklių, esantį ngrok padomenyje.

„ngrok“ yra teisėta paslauga, kuria kūrėjai naudojasi bandydami savo programą, ypač norėdami atidaryti ryšius su savo „localhost“ serverio programomis už NAT arba užkardos. Tačiau nuo 1.0.1 ir 1.0.2 versijų to paties aprašo scenarijus po įdiegimo modifikuotas taip, kad atliktų grėsmingą užduotį, pasak Sharma.

Tai veiksmingai atveria vartotojo mašinos užpakalinę dalį, suteikdama užpuolikui galimybę valdyti pažeistą mašiną ir nuotolinio kodo vykdymo (RCE) galimybes. Sharma teigė, kad atvirkštinis komandinis vertėjas veikia tik UNIX operacinėse sistemose.

Kūrėjai turi pakeisti ID, paslaptis ir raktus

„Npm“ patarime sakoma, kad rizikuoja kūrėjai, kurie galbūt įdiegė kenksmingą paketą prieš jį pašalinant.

„Bet kuris kompiuteris, kuriame įdiegtas ar veikia šis paketas, turėtų būti laikomas visiškai pažeistu“, - pirmadienį pranešė „npm“ saugumo komanda, patvirtindama „Sonatype“ tyrimą.


Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.