Ett JavaScript-bibliotek, som är tänkt att vara ett bibliotek relaterat till Twilio tillät bakdörrar att installeras på programmerarens datorer För att ge angripare åtkomst till infekterade arbetsstationer överfördes den till npm open source-registret förra fredagen.
Lyckligtvis tjänsten för detektering av skadlig kod Sonatype Release Integrity upptäckte snabbt skadlig programvara, i tre versioner och tog bort den på måndag.
Npm-säkerhetsteamet tog bort ett JavaScript-bibliotek måndag namngavs "twilio-npm" från npm-webbplatsen eftersom den innehöll skadlig kod som kunde öppna bakdörrar på programmerarens datorer.
Paket som innehåller skadlig kod har blivit ett återkommande ämne i JavaScript-koden för öppen källkod.
JavaScript-biblioteket (och dess skadliga beteende) upptäcktes i helgen av Sonatype, som övervakar offentliga paketförvar som en del av dess säkerhetstjänsttjänster för DevSecOps.
I en rapport som släpptes måndag sa Sonatype att biblioteket först publicerades på npm-webbplatsen på fredag, upptäcktes samma dag och togs bort på måndag efter att npm-säkerhetsteamet lade paketet i en svartlista.
Det finns många legitima paket i npm-registret relaterat till eller representerar den officiella Twilio-tjänsten.
Men enligt Ax Sharma, Sonatypes säkerhetsingenjör, har twilio-npm inget att göra med Twilio-företaget. Twilio är inte inblandad och har inget att göra med detta försök till varumärkesstöld. Twilio är en ledande molnbaserad kommunikationsplattform som en tjänst som gör det möjligt för utvecklare att skapa VoIP-baserade applikationer som programmatiskt kan ringa och ta emot telefonsamtal och textmeddelanden.
Det officiella paketet med Twilio npm laddar ner nästan en halv miljon gånger i veckan, enligt ingenjören. Dess stora popularitet förklarar varför hotaktörer kan vara intresserade av att fånga utvecklare med en förfalskad komponent med samma namn.
”Twilio-npm-paketet höll dock inte tillräckligt länge för att lura många människor. Uppladdad fredagen den 30 oktober flaggade Sontatype-tjänsten Release Integrity uppenbarligen koden som misstänkt en dag senare - artificiell intelligens och maskininlärning har helt klart användningsområden. Måndagen den 2 november publicerade företaget sina resultat och koden drogs tillbaka.
Trots den korta livslängden för npm-portalen har biblioteket laddats ner över 370 gånger och har automatiskt inkluderats i JavaScript-projekt som skapats och hanterats genom kommandoradsverktyget npm (Node Package Manager), enligt Sharma. . Och många av dessa initiala förfrågningar kommer troligen från skannmotorer och proxyservrar som syftar till att spåra ändringar i npm-registret.
Counterfeit-paketet är en enda skadlig fil och har 3 tillgängliga versioner att ladda ner (1.0.0, 1.0.1 och 1.0.2). Alla tre versionerna verkar ha släppts samma dag, den 30 oktober. Version 1.0.0 uppnår inte mycket, enligt Sharma. Den innehåller bara en liten manifestfil, package.json, som drar en resurs i en ngrok-underdomän.
ngrok är en legitim tjänst som utvecklare använder när de testar deras applikation, särskilt för att öppna anslutningar till deras "localhost" -serverapplikationer bakom NAT eller en brandvägg. Men från version 1.0.1 och 1.0.2 har samma manifest dess skript efter installationen modifierat för att utföra en olycksbådande uppgift, enligt Sharma.
Detta öppnar effektivt en bakdörr på användarens maskin, vilket ger angriparen kontroll över komprometterad maskin och fjärrkodkörning (RCE). Sharma sa att det omvända skalet bara fungerar på UNIX-baserade operativsystem.
Utvecklare måste ändra ID, hemligheter och nycklar
Rådgivningen för npm säger att utvecklare som kan ha installerat det skadliga paketet innan det tas bort är i fara.
"Alla datorer där detta paket är installerat eller fungerar bör betraktas som helt äventyrade", sade npm-säkerhetsgruppen på måndag och bekräftade Sonatypes utredning.