Knižnica JavaScript, ktorá má byť knižnica súvisiaca s Twilio umožnilo inštaláciu zadných vrátok na počítače programátorov Aby sa útočníkom umožnil prístup k infikovaným pracovným staniciam, bol minulý piatok nahraný do registra npm open source.
našťastie služba detekcie škodlivého softvéru Integrita vydania Sonatype rýchlo odhalila malware, v troch verziách a v pondelok ju odstránili.
Bezpečnostný tím NPM v pondelok odstránil knižnicu JavaScriptu s názvom „twilio-npm“ z webovej stránky npm, pretože obsahovala škodlivý kód, ktorý mohol otvárať zadné vrátka na počítačoch programátorov.
Balíky obsahujúce škodlivý kód sa stali opakujúcou sa témou v registri kódov JavaScriptu otvoreného zdroja.
Knižnicu JavaScript (a jej škodlivé správanie) objavil tento víkend Sonatype, ktorý monitoruje verejné úložiská balíkov ako súčasť svojich bezpečnostných operačných služieb pre DevSecOps.
V správe zverejnenej v pondelok Sonatype uviedol, že knižnica bola najskôr zverejnená na web npm v piatok, objavená v ten istý deň a odstránená v pondelok po tom, čo bezpečnostný tím NPM vložil balíček na čiernu listinu.
V registri npm je veľa legitímnych balíkov, ktoré súvisia s oficiálnou službou Twilio alebo ju zastupujú.
Podľa bezpečnostného inžiniera spoločnosti Sonatype Ax Sharma však twilio-npm nemá nič spoločné so spoločnosťou Twilio. Spoločnosť Twilio nie je zapojená a nemá nič spoločné s týmto pokusom o krádež značky. Twilio je popredná cloudová komunikačná platforma ako služba, ktorá umožňuje vývojárom vytvárať aplikácie založené na VoIP, ktoré môžu programovo uskutočňovať a prijímať telefónne hovory a textové správy.
Oficiálne balenie Twilio npm sťahuje takmer pol milióna krát týždenne, podľa inžiniera. Jeho vysoká popularita vysvetľuje, prečo by aktéri hrozieb mohli mať záujem chytiť vývojárov pomocou falošnej zložky s rovnakým názvom.
„Balík Twilio-npm však nevydržal dosť dlho na to, aby oklamal veľa ľudí. Služba Sontatype Release Integrity, ktorá bola nahraná v piatok 30. októbra, zjavne označila kód za podozrivý o deň neskôr - umelá inteligencia a strojové učenie majú zjavne svoje využitie. V pondelok 2. novembra spoločnosť zverejnila svoje zistenia a kódex bol stiahnutý.
Napriek krátkej životnosti portálu npm bola knižnica podľa Sharmy stiahnutá viac ako 370-krát a bola automaticky zahrnutá do projektov JavaScriptu vytvorených a spravovaných prostredníctvom obslužného programu príkazového riadku npm (Node Package Manager). A veľa z týchto počiatočných požiadaviek pravdepodobne pochádza zo skenovacích strojov a serverov proxy, ktorých cieľom je sledovať zmeny v registri npm.
Falošný balík je malvér s jedným súborom a má k dispozícii 3 verzie na stiahnutie (1.0.0, 1.0.1 a 1.0.2). Zdá sa, že všetky tri verzie boli vydané v ten istý deň, 30. októbra. Verzia 1.0.0 podľa Sharmy nedosahuje veľa úspechov. Zahŕňa iba malý súbor manifestu, package.json, ktorý extrahuje prostriedok umiestnený v subdoméne ngrok.
ngrok je legitímna služba, ktorú vývojári používajú pri testovaní svojich aplikácií, najmä na otváranie pripojení k svojim serverovým aplikáciám „localhost“ za NAT alebo firewallom. Avšak od verzie 1.0.1 a 1.0.2 má ten istý manifest podľa Sharmy upravený skript po inštalácii tak, aby vykonával zlovestnú úlohu.
Tým sa efektívne otvorí zadná vrátka na stroji používateľa, čím sa útočníkovi poskytne kontrola nad napadnutým strojom a možnosti vzdialeného spustenia kódu (RCE). Sharma uviedol, že interpret reverzných príkazov funguje iba v operačných systémoch založených na systéme UNIX.
Vývojári musia meniť ID, tajomstvá a kľúče
Poradenstvo pre NPM hovorí, že vývojári, ktorí mohli nainštalovať škodlivý balík pred jeho odstránením, sú ohrození.
„Akýkoľvek počítač, na ktorom je nainštalovaný alebo funkčný tento balík, by mal byť považovaný za plne ohrozený,“ uviedol v pondelok bezpečnostný tím NPM a potvrdil vyšetrovanie Sonatype.