Un pachet npm care s-a mascat drept „twilio-npm” și a făcut loc pentru ușile din spate

O bibliotecă JavaScript, care se dorește a fi o bibliotecă legată de Twilio a permis instalarea ușilor din spate pe computerele programatorilor Pentru a permite atacatorilor să acceseze stațiile de lucru infectate, acesta a fost încărcat în registrul open source npm vinerea trecută.

Din fericire, serviciul de detectare a programelor malware Sonatype Release Integrity a detectat rapid malware-ul, în trei versiuni și l-a eliminat luni.

Echipa de securitate Npm a eliminat luni o bibliotecă JavaScript numit „twilio-npm” de pe site-ul web npm deoarece conținea un cod rău intenționat care ar putea deschide ușile din spate pe computerele programatorilor.

Pachetele care conțin cod rău intenționat au devenit un subiect recurent în registrul JavaScript open source.

Biblioteca JavaScript (și comportamentul său rău intenționat) a fost descoperită în acest weekend de Sonatype, care monitorizează depozitele de pachete publice ca parte a serviciilor sale de operațiuni de securitate pentru DevSecOps.

Într-un raport publicat luni, Sonatype a declarat că biblioteca a fost publicată prima dată pe site-ul npm vineri, descoperită în aceeași zi și eliminată luni după ce echipa de securitate npm a pus pachetul într-un lista neagră.

Există multe pachete legitime în registrul npm legate sau care reprezintă serviciul oficial Twilio.

Dar, conform lui Ax Sharma, inginerul de securitate Sonatype, twilio-npm nu are nimic de-a face cu compania Twilio. Twilio nu este implicat și nu are nimic de-a face cu această tentativă de furt de marcă. Twilio este o platformă de comunicații bazată pe cloud, ca serviciu care permite dezvoltatorilor să creeze aplicații bazate pe VoIP, care pot efectua și primi prin program și apeluri telefonice și mesaje text.

Pachetul oficial al Twilio npm descarcă aproape o jumătate de milion de ori pe săptămână, conform inginerului. Marea sa popularitate explică de ce actorii de amenințare ar putea fi interesați să prindă dezvoltatorii cu o componentă contrafăcută cu același nume.

„Cu toate acestea, pachetul Twilio-npm nu a rezistat suficient pentru a păcăli mulți oameni. Încărcat vineri, 30 octombrie, serviciul Sontatype Release Integrity pare să semnalizeze codul ca fiind suspect o zi mai târziu - inteligența artificială și învățarea automată au în mod clar utilizări. Luni, 2 noiembrie, compania și-a publicat concluziile și codul a fost retras.

În ciuda duratei scurte de viață a portalului npm, biblioteca a fost descărcată de peste 370 de ori și a fost inclusă automat în proiectele JavaScript create și gestionate prin intermediul utilitarului de linie de comandă npm (Node Package Manager), potrivit Sharma. . Și multe dintre aceste cereri inițiale provin probabil de la motoare de scanare și proxy-uri care urmăresc urmărirea modificărilor din registrul npm.

Pachetul contrafăcut este un malware cu un singur fișier și are 3 versiuni disponibile de descărcat (1.0.0, 1.0.1 și 1.0.2). Toate cele trei versiuni par să fi fost lansate în aceeași zi, 30 octombrie. Versiunea 1.0.0 nu realizează prea multe, potrivit Sharma. Acesta include doar un mic fișier manifest, package.json, care extrage o resursă situată într-un subdomeniu ngrok.

ngrok este un serviciu legitim pe care dezvoltatorii îl folosesc atunci când își testează aplicația, în special pentru a deschide conexiuni la aplicațiile lor de server „localhost” din spatele NAT sau a unui firewall. Cu toate acestea, începând cu versiunile 1.0.1 și 1.0.2, același manifest are scriptul său post-instalare modificat pentru a efectua o sarcină sinistră, potrivit Sharma.

Acest lucru deschide efectiv un backdoor pe computerul utilizatorului, oferind atacatorului controlul asupra computerului compromis și capabilităților de executare a codului la distanță (RCE). Sharma a spus că shell-ul invers funcționează numai pe sistemele de operare bazate pe UNIX.

Dezvoltatorii trebuie să schimbe ID-urile, secretele și cheile

Recomandarea npm spune că dezvoltatorii care ar fi putut instala pachetul rău intenționat înainte ca acesta să fie eliminat sunt expuși riscului.

"Orice computer pe care este instalat sau funcționează acest pachet ar trebui considerat pe deplin compromis", a declarat luni echipa de securitate npm, confirmând ancheta Sonatype.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.