Et JavaScript-bibliotek, som er ment å være et bibliotek relatert til Twilio tillot at bakdører ble installert på programmørens datamaskiner for å tillate angripere å få tilgang til infiserte arbeidsstasjoner, ble den lastet opp til npm open source-registeret sist fredag.
Heldigvis tjenesten for deteksjon av skadelig programvare Sonatype Release Integrity oppdaget raskt skadelig programvare, i tre versjoner, og fjernet den mandag.
NPM-sikkerhetsteamet fjernet et JavaScript-bibliotek på mandag kalt "twilio-npm" fra npm-nettstedet fordi den inneholdt ondsinnet kode som kunne åpne bakdører på programmørenes datamaskiner.
Pakker som inneholder skadelig kode, har blitt et tilbakevendende emne i JavaScript-registret med åpen kildekode.
JavaScript-biblioteket (og dets ondsinnede oppførsel) ble oppdaget i helgen av Sonatype, som overvåker offentlige pakkelager som en del av sikkerhetsoperasjonstjenestene for DevSecOps.
I en rapport som ble utgitt mandag sa Sonatype at biblioteket først ble lagt ut på npm-nettstedet på fredag, oppdaget samme dag og fjernet mandag etter at npm-sikkerhetsteamet la pakken i en svarteliste.
Det er mange legitime pakker i npm-registeret relatert til eller representerer den offisielle Twilio-tjenesten.
Men ifølge Ax Sharma, Sonatypes sikkerhetsingeniør, har twilio-npm ingenting å gjøre med Twilio-selskapet. Twilio er ikke involvert og har ingenting å gjøre med dette forsøket på tyveri av merkevare. Twilio er en ledende skybasert kommunikasjonsplattform, som en tjeneste, som gjør det mulig for utviklere å lage VoIP-baserte applikasjoner som programmatisk kan ringe og motta telefonsamtaler og tekstmeldinger.
Den offisielle pakken med Twilio npm laster ned nesten en halv million ganger i uken, ifølge ingeniøren. Den store populariteten forklarer hvorfor trusselaktører kan være interessert i å fange utviklere med en forfalsket komponent med samme navn.
“Twilio-npm-pakken holdt imidlertid ikke lenge nok til å lure mange mennesker. Lastet opp fredag 30. oktober markerte Sontatype's Release Integrity-tjeneste tilsynelatende koden som mistenkelig en dag senere - kunstig intelligens og maskinlæring har tydeligvis bruk. Mandag 2. november publiserte selskapet sine funn, og koden ble trukket tilbake.
Til tross for den korte levetiden til npm-portalen, har biblioteket blitt lastet ned over 370 ganger og er automatisk inkludert i JavaScript-prosjekter opprettet og administrert gjennom kommandolinjeprogrammet npm (Node Package Manager), ifølge Sharma. Og mange av de første forespørslene kommer sannsynligvis fra skannemotorer og fullmakter som tar sikte på å spore endringer i npm-registeret.
Den falske pakken er skadelig fil for én fil og har 3 tilgjengelige versjoner å laste ned (1.0.0, 1.0.1 og 1.0.2). Alle de tre versjonene ser ut til å ha blitt gitt ut samme dag 30. oktober. Versjon 1.0.0 oppnår ikke mye, ifølge Sharma. Den inneholder bare en liten manifestfil, package.json, som henter en ressurs som ligger i et ngrok-underdomenet.
ngrok er en legitim tjeneste som utviklere bruker når de tester applikasjonen, spesielt for å åpne forbindelser til deres "localhost" -serverapplikasjoner bak NAT eller en brannmur. Imidlertid, fra versjon 1.0.1 og 1.0.2, har samme manifest skriptet etter installasjonen endret for å utføre en uhyggelig oppgave, ifølge Sharma.
Dette åpner effektivt en bakdør på brukerens maskin, og gir angriperen kontroll over den kompromitterte maskinen og ekstern kodeutførelse (RCE). Sharma sa at det omvendte skallet bare fungerer på UNIX-baserte operativsystemer.
Utviklere må endre ID-er, hemmeligheter og nøkler
Npm-rådgivningen sier at utviklere som kan ha installert den ondsinnede pakken før den fjernes, er i fare.
"En hvilken som helst datamaskin som denne pakken er installert på eller fungerer på, bør betraktes som fullstendig kompromittert," sa npm-sikkerhetsteamet mandag og bekreftet Sonatypes etterforskning.