Paredzēta JavaScript bibliotēka bibliotēka, kas saistīta ar Twilio ļāva programmētāju datoros uzstādīt aizmugures durvis lai uzbrucēji varētu piekļūt inficētām darbstacijām, tā pagājušajā piektdienā tika augšupielādēta npm atvērtā pirmkoda reģistrā.
Par laimi, ļaunprātīgas programmatūras noteikšanas pakalpojumu Sonatype Release Integrity ātri atklāja ļaunprātīgo programmatūru, trīs versijās, un pirmdien to noņēma.
Npm drošības komanda pirmdien noņēma JavaScript bibliotēku ar nosaukumu "twilio-npm" no vietnes npm, jo tajā bija ļaunprātīgs kods, kas programmētāju datoros varēja atvērt aizmugurējās durvis.
Paketes, kas satur ļaunprātīgu kodu, ir kļuvušas par atkārtotu tēmu atvērtā koda JavaScript kodu reģistrā.
JavaScript bibliotēku (un tās ļaunprātīgo rīcību) šajā nedēļas nogalē atklāja Sonatype, kas kā daļu no DevSecOps drošības operāciju pakalpojumiem uzrauga publisko pakotņu krātuves.
Pirmdien publicētajā ziņojumā Sonatype teica, ka bibliotēka pirmo reizi tika ievietota npm vietnē piektdien, tika atklāta tajā pašā dienā un tika noņemta pirmdien pēc tam, kad npm drošības komanda paketi ievietoja melnajā sarakstā.
Npm reģistrā ir daudz likumīgu pakotņu, kas saistītas ar oficiālo Twilio pakalpojumu vai pārstāv to.
Bet, kā saka Axat Sharma, Sonatype drošības inženieris, twilio-npm nav nekāda sakara ar Twilio uzņēmumu. Twilio nav iesaistīts un tam nav nekāda sakara ar šo zīmola zādzības mēģinājumu. Twilio ir vadošā mākoņa sakaru platforma kā pakalpojums, kas ļauj izstrādātājiem izveidot uz VoIP balstītas lietojumprogrammas, kas programmatiski var veikt un saņemt tālruņa zvanus un īsziņas.
Oficiālā pakete Twilio npm lejupielādē gandrīz pusmiljonu reižu nedēļā, pēc inženiera domām. Tā lielā popularitāte izskaidro, kāpēc draudu dalībniekiem varētu būt interese noķert izstrādātājus ar tāda paša nosaukuma viltotu komponentu.
“Tomēr Twilio-npm pakete neizturēja pietiekami ilgi, lai apmānītu daudzus cilvēkus. Augšupielādēts piektdien, 30. oktobrī, Sontatype Release Integrity dienests acīmredzot dienu vēlāk atzīmēja kodu kā aizdomīgu - mākslīgajam intelektam un mašīnmācībai acīmredzami ir izmantojums. Pirmdien, 2. novembrī, uzņēmums publicēja savus secinājumus, un kods tika atsaukts.
Neskatoties uz īso portāla npm darbības laiku, bibliotēka ir lejupielādēta vairāk nekā 370 reizes un ir automātiski iekļauta JavaScript projektos, kas izveidoti un pārvaldīti, izmantojot komandrindas utilītu npm (Node Package Manager), norāda Sharma. Daudzi no šiem sākotnējiem pieprasījumiem, visticamāk, nāk no skenēšanas motoriem un starpniekiem, kuru mērķis ir izsekot izmaiņas npm reģistrā.
Viltota pakete ir viena faila ļaunprātīga programmatūra, un tai ir pieejamas trīs versijas lejupielādēt (1.0.0, 1.0.1 un 1.0.2). Visas trīs versijas, šķiet, ir izlaistas tajā pašā dienā, 30. oktobrī. Saskaņā ar Šarmu, versija 1.0.0 neko daudz nepaveic. Tas vienkārši ietver nelielu manifesta failu package.json, kas izvelk resursu, kas atrodas ngrok apakšdomēnā.
ngrok ir likumīgs pakalpojums, kuru izstrādātāji izmanto, pārbaudot savu lietojumprogrammu, it īpaši, lai atvērtu savienojumus ar savām "localhost" servera lietojumprogrammām aiz NAT vai ugunsmūra. Tomēr, sākot ar versijām 1.0.1 un 1.0.2, tā paša manifesta pēcinstalēšanas skripts ir modificēts, lai veiktu ļaunu uzdevumu, norāda Šarma.
Tas faktiski atver lietotāja datora aizmuguri, dodot uzbrucējam kontroli pār apdraudēto mašīnu un attālās koda izpildes (RCE) iespējām. Šarma sacīja, ka reversās komandas tulks darbojas tikai operētājsistēmās, kuru pamatā ir UNIX.
Izstrādātājiem ir jāmaina ID, noslēpumi un atslēgas
Npm padomdevējs saka, ka izstrādātāji, kuri, iespējams, ir instalējuši ļaunprātīgo pakotni pirms tās noņemšanas, ir pakļauti riskam.
"Jebkurš dators, kurā šī pakotne ir instalēta vai darbojas, jāuzskata par pilnībā apdraudētu," pirmdien paziņoja npm drošības komanda, apstiprinot Sonatype izmeklēšanu.