Пакет за нпм који се маскирао као „твилио-нпм“ и отворио место за бацкдоорс

ЈаваСцрипт библиотека, за коју је предвиђено да буде библиотека везана за Твилио је дозволио инсталирање бацкдоор-а на рачунаре програмера Да би се нападачима омогућио приступ зараженим радним станицама, отпремљен је у нпм регистар отвореног кода прошлог петка.

Срећом услугу откривања малвера Сонатипе Релеасе Интегрити брзо је открио малвер, у три верзије и уклонио га у понедељак.

Тим за безбедност Нпм уклонио је ЈаваСцрипт библиотеку у понедељак назван „твилио-нпм“ са веб локације нпм, јер је садржао злонамерни код који је могао да отвори позадину на рачунарима програмера.

Пакети који садрже злонамерни код постали су тема која се понавља у регистру ЈаваСцрипт кода отвореног кода.

ЈаваСцрипт библиотеку (и њено злонамерно понашање) открио је овог викенда Сонатипе, који надгледа јавна спремишта пакета као део својих сигурносних оперативних услуга за ДевСецОпс.

У извештају објављеном у понедељак, Сонатипе је рекао да је библиотека први пут објављена на веб локацији нпм у петак, откривена истог дана и уклоњена у понедељак након што је тим за безбедност нпм ставио пакет на црну листу.

У нпм регистру постоји много легитимних пакета који се односе на званичну Твилио услугу или представљају је.

Али према Аке Схарми, Сонатипе-овом инжењеру безбедности, твилио-нпм нема никакве везе са компанијом Твилио. Твилио није умешан и нема никакве везе са овом покушајем крађе бренда. Твилио је водећа комуникациона платформа заснована на облаку као услуга која омогућава програмерима да граде апликације засноване на ВоИП-у које могу програмски упућивати и примати телефонске позиве и текстуалне поруке.

Званични пакет од Твилио нпм преузима скоро пола милиона пута недељно, према инжењеру. Његова велика популарност објашњава зашто би актери претњи били заинтересовани за хватање програмера са фалсификованом истоименом компонентом.

„Међутим, пакет Твилио-нпм није издржао довољно дуго да заварава многе људе. Отпремљена у петак, 30. октобра, Сонтатипе-ова служба за интегритет издања очигледно је дан касније означила код сумњивим - вештачка интелигенција и машинско учење очигледно имају користи. У понедељак, 2. новембра, компанија је објавила своје налазе и код је повучен.

Упркос кратком животном веку нпм портала, библиотека је преузета преко 370 пута и аутоматски је укључена у ЈаваСцрипт пројекте креиране и њима управљане помоћу услужног програма нпм командне линије (Ноде Пацкаге Манагер), према Схарми. Многи од тих почетних захтева вероватно потичу од механизама за скенирање и проксија којима је циљ праћење промена у регистру нпм.

Фалсификовани пакет је малваре са једном датотеком и има 3 доступне верзије за преузимање (1.0.0, 1.0.1 и 1.0.2). Изгледа да су све три верзије објављене истог дана, 30. октобра. Верзија 1.0.0 не постиже много, према Схарми. Садржи само малу манифестну датотеку, пацкаге.јсон, која издваја ресурс смештен у нгрок поддомен.

нгрок је легитимна услуга коју програмери користе приликом тестирања своје апликације, посебно за отварање веза са њиховим „лоцалхост“ серверским апликацијама иза НАТ-а или заштитног зида. Међутим, од верзија 1.0.1 и 1.0.2, исти манифест има своју скрипту након инсталације модификовану да изврши злокобан задатак, према Схарми.

Ово ефикасно отвара позадинску заштиту на корисниковом рачунару, пружајући нападачу контролу над угроженом машином и могућностима даљинског извршавања кода (РЦЕ). Схарма је рекао да тумач обрнуте команде ради само на оперативним системима заснованим на УНИКС-у.

Програмери морају да промене ИД-ове, тајне и кључеве

Савет за нпм каже да су програмери који су можда инсталирали злонамерни пакет пре његовог уклањања у опасности.

"Било који рачунар на којем је инсталиран или ради овај пакет треба сматрати потпуно угроженим", рекао је у понедељак тим за безбедност компаније нпм, потврђујући истрагу компаније Сонатипе.


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.