Библиотека JavaScript, предназначенная для библиотека, связанная с Twilio разрешила устанавливать бэкдоры на компьютеры программистов Чтобы злоумышленники могли получить доступ к зараженным рабочим станциям, он был загружен в реестр с открытым исходным кодом npm в прошлую пятницу.
К счастью, служба обнаружения вредоносных программ Sonatype Release Integrity быстро обнаружила вредоносное ПО, в трех версиях и удалил в понедельник.
Команда безопасности npm удалила библиотеку JavaScript в понедельник названный "twilio-npm" с веб-сайта npm, потому что он содержал вредоносный код, который мог открывать бэкдоры на компьютерах программистов.
Пакеты, содержащие вредоносный код, стали постоянной темой в реестре JavaScript с открытым исходным кодом.
Библиотека JavaScript (и ее вредоносное поведение) была обнаружена в эти выходные компанией Sonatype, которая отслеживает общедоступные репозитории пакетов в рамках своих служб безопасности для DevSecOps.
В опубликованном в понедельник отчете Sonatype говорится, что библиотека была впервые опубликована на веб-сайте npm в пятницу, обнаружена в тот же день и удалена в понедельник после того, как группа безопасности npm поместила пакет в черный список.
В реестре npm есть много законных пакетов, связанных с официальной службой Twilio или представляющих ее.
Но, по словам Axe Sharma, инженера по безопасности Sonatype, twilio-npm не имеет ничего общего с компанией Twilio. Twilio не причастен и не имеет ничего общего с попыткой кражи бренда. Twilio - это ведущая облачная коммуникационная платформа как услуга, которая позволяет разработчикам создавать приложения на основе VoIP, которые могут программно совершать и принимать телефонные звонки и текстовые сообщения.
Официальный пакет Twilio npm загружается почти полмиллиона раз в неделю, по словам инженера. Его большая популярность объясняет, почему злоумышленники могут быть заинтересованы в поимке разработчиков с помощью одноименного поддельного компонента.
«Однако пакет Twilio-npm не продержался достаточно долго, чтобы обмануть многих людей. Служба Release Integrity компании Sontatype, загруженная в пятницу, 30 октября, через день, по-видимому, пометила код как подозрительный - искусственный интеллект и машинное обучение явно нашли применение. В понедельник, 2 ноября, компания опубликовала свои выводы, и код был отозван.
Несмотря на недолгий срок службы портала npm, по словам Шармы, библиотека была загружена более 370 раз и автоматически включена в проекты JavaScript, созданные и управляемые с помощью утилиты командной строки npm (Node Package Manager). . И многие из этих первоначальных запросов, вероятно, исходят от ядер сканирования и прокси, которые стремятся отслеживать изменения в реестре npm.
Поддельный пакет представляет собой однофайловую вредоносную программу и имеет 3 версии. для загрузки (1.0.0, 1.0.1 и 1.0.2). Все три версии, похоже, были выпущены в один день, 30 октября. По словам Шармы, версия 1.0.0 не дает многого. Он просто включает небольшой файл манифеста package.json, который извлекает ресурс, расположенный в поддомене ngrok.
ngrok - это законный сервис, который разработчики используют при тестировании своих приложений, особенно для открытия соединений с их серверными приложениями «localhost» за NAT или межсетевым экраном. Однако, по словам Шармы, начиная с версий 1.0.1 и 1.0.2 в том же манифесте был изменен сценарий после установки для выполнения зловещей задачи.
Это эффективно открывает бэкдор на машине пользователя, давая злоумышленнику возможность контролировать взломанный компьютер и возможности удаленного выполнения кода (RCE). Шарма сказал, что обратная оболочка работает только в операционных системах на основе UNIX.
Разработчики должны изменить идентификаторы, секреты и ключи
В рекомендациях npm говорится, что риску подвергаются разработчики, которые могли установить вредоносный пакет до его удаления.
«Любой компьютер, на котором установлен или работает этот пакет, должен считаться полностью скомпрометированным», - заявила в понедельник команда безопасности npm, подтвердив расследование Sonatype.