Een JavaScript-bibliotheek, die bedoeld is om een bibliotheek gerelateerd aan Twilio stond toe dat backdoors op de computers van programmeurs werden geïnstalleerd Om aanvallers toegang te geven tot geïnfecteerde werkstations, is het afgelopen vrijdag geüpload naar het open source register npm.
Gelukkig, de malwaredetectieservice Sonatype Release Integrity heeft de malware snel gedetecteerd, in drie versies, en maandag verwijderd.
Het NPM-beveiligingsteam heeft maandag een JavaScript-bibliotheek verwijderd met de naam "twilio-npm" van de npm-website omdat het kwaadaardige code bevatte die achterdeurtjes op de computers van programmeurs kon openen.
Pakketten die schadelijke code bevatten, zijn een terugkerend onderwerp geworden in het open source JavaScript-coderegister.
De JavaScript-bibliotheek (en het kwaadaardige gedrag ervan) werd dit weekend ontdekt door Sonatype, dat openbare pakketrepository's controleert als onderdeel van zijn beveiligingsservices voor DevSecOps.
In een maandag vrijgegeven rapport zei Sonatype dat de bibliotheek vrijdag voor het eerst op de npm-website werd gepubliceerd, dezelfde dag werd ontdekt en op maandag werd verwijderd nadat het beveiligingsteam van de npm het pakket op een zwarte lijst had gezet.
Er zijn veel legitieme pakketten in het npm-register die betrekking hebben op of die de officiële Twilio-service vertegenwoordigen.
Maar volgens Ax Sharma, Sonatype's beveiligingsingenieur, heeft twilio-npm niets te maken met het Twilio-bedrijf. Twilio is niet betrokken en heeft niets te maken met deze poging tot branddiefstal. Twilio is een toonaangevend cloudgebaseerd communicatieplatform als een service waarmee ontwikkelaars VoIP-gebaseerde applicaties kunnen bouwen die programmatisch kunnen bellen en sms'en.
Het officiële pakket van Twilio npm downloadt bijna een half miljoen keer per week, volgens de ingenieur. Zijn grote populariteit verklaart waarom dreigingsactoren geïnteresseerd zouden kunnen zijn in het vangen van ontwikkelaars met een namaakcomponent met dezelfde naam.
“Het Twilio-npm-pakket hield echter niet lang genoeg stand om veel mensen voor de gek te houden. De Release Integrity-service van Sontatype, geüpload op vrijdag 30 oktober, markeerde de code blijkbaar een dag later als verdacht - kunstmatige intelligentie en machine learning hebben duidelijk toepassingen. Maandag 2 november publiceerde het bedrijf zijn bevindingen en werd de code ingetrokken.
Ondanks de korte levensduur van de npm-portal, is de bibliotheek meer dan 370 keer gedownload en automatisch opgenomen in JavaScript-projecten die zijn gemaakt en beheerd via het npm-opdrachtregelprogramma (Node Package Manager), aldus Sharma. En veel van die eerste verzoeken zijn waarschijnlijk afkomstig van scanengines en proxy's die wijzigingen in het npm-register willen volgen.
Vervalste pakket is malware voor één bestand en heeft 3 versies beschikbaar om te downloaden (1.0.0, 1.0.1 en 1.0.2). Alle drie de versies lijken op dezelfde dag, 30 oktober, te zijn uitgebracht. Volgens Sharma bereikt versie 1.0.0 niet veel. Het bevat alleen een klein manifestbestand, package.json, dat een bron uit een ngrok-subdomein extraheert.
ngrok is een legitieme service die ontwikkelaars gebruiken bij het testen van hun applicatie, vooral om verbindingen te openen met hun "localhost" servertoepassingen achter NAT of een firewall. Vanaf versie 1.0.1 en 1.0.2 is het post-installatiescript van hetzelfde manifest echter gewijzigd om een sinistere taak uit te voeren, aldus Sharma.
Dit opent effectief een achterdeur op de computer van de gebruiker, waardoor de aanvaller controle krijgt over de gecompromitteerde machine en mogelijkheden voor uitvoering van externe code (RCE). Sharma zei dat de reverse command-interpreter alleen werkt op UNIX-gebaseerde besturingssystemen.
Ontwikkelaars moeten ID's, geheimen en sleutels wijzigen
Het npm-advies zegt dat ontwikkelaars die mogelijk het kwaadaardige pakket hebben geïnstalleerd voordat het wordt verwijderd, risico lopen.
"Elke computer waarop dit pakket is geïnstalleerd of werkt, moet als volledig gecompromitteerd worden beschouwd", zei het npm-beveiligingsteam maandag, ter bevestiging van het onderzoek van Sonatype.