Бібліотека JavaScript, яка призначена бібліотека, пов'язана з Twilio дозволив встановлювати бекдори на комп'ютери програмістів Щоб дозволити зловмисникам отримати доступ до заражених робочих станцій, його було завантажено до реєстру з відкритим кодом npm минулої п’ятниці.
На щастя, службу виявлення шкідливого програмного забезпечення Sonatype Release Integrity швидко виявила шкідливе програмне забезпечення, у трьох варіантах, а в понеділок видалив.
Команда безпеки Npm видалила бібліотеку JavaScript у понеділок з назвою "twilio-npm" з веб-сайту npm, оскільки він містив шкідливий код, який міг відкривати бэкдор на комп'ютерах програмістів.
Пакети, що містять шкідливий код, стали постійно повторюваною темою у реєстрі кодів JavaScript з відкритим кодом.
Бібліотеку JavaScript (та її зловмисну поведінку) було виявлено на цих вихідних Sonatype, яка відстежує загальнодоступні сховища пакетів як частину своїх служб безпеки для DevSecOps.
У звіті, опублікованому в понеділок, Sonatype зазначає, що бібліотека була вперше опублікована на веб-сайті npm у п'ятницю, виявлена в той же день і видалена в понеділок після того, як команда безпеки npm внесла пакет до чорного списку.
У реєстрі npm є багато законних пакетів, пов’язаних з офіційною службою Twilio або представляючих її.
Але за словами Axe Sharma, інженера з безпеки Sonatype, twilio-npm не має нічого спільного з компанією Twilio. Twilio не причетний і не має нічого спільного з цією спробою крадіжки бренду. Twilio - це провідна хмарна комунікаційна платформа як послуга, яка дозволяє розробникам створювати програми на основі VoIP, які можуть програмно здійснювати та приймати телефонні дзвінки та текстові повідомлення.
Офіційний пакет Twilio npm завантажує майже півмільйона разів на тиждень, за словами інженера. Його велика популярність пояснює, чому суб’єктам загрози може бути цікаво зловити розробників з однойменною підробкою.
«Однак пакет Twilio-npm протримався недостатньо довго, щоб обдурити багатьох людей. Завантажено в п’ятницю, 30 жовтня, служба звільнення цілісності від компанії Sontatype, очевидно, через день позначила код як підозрілий - штучний інтелект та машинне навчання, очевидно, використовують. У понеділок, 2 листопада, компанія опублікувала свої висновки, і код був вилучений.
Незважаючи на невелику тривалість життя порталу npm, бібліотека була завантажена понад 370 разів і була автоматично включена до проектів JavaScript, створених та керованих за допомогою утиліти командного рядка npm (Node Package Manager), за словами Шарми. І багато з цих початкових запитів, ймовірно, надходять від механізмів сканування та проксі-серверів, які спрямовані на відстеження змін до реєстру npm.
Пакет підробок - це однофайлове зловмисне програмне забезпечення та має 3 доступні версії для завантаження (1.0.0, 1.0.1 та 1.0.2). Здається, всі три версії були випущені того ж дня, 30 жовтня. За версією 1.0.0, за словами Шарми, багато чого не вдається. Він включає лише невеликий файл маніфесту package.json, який витягує ресурс, розташований у піддомені ngrok.
ngrok - це законна послуга, яку розробники використовують під час тестування своєї програми, особливо для відкриття з'єднань із їхніми серверними програмами "localhost" за NAT або брандмауером. Однак, станом на версії 1.0.1 та 1.0.2, у цьому ж маніфесті змінено сценарій після встановлення, щоб виконати зловісне завдання, за словами Шарми.
Це фактично відкриває бэкдор на машині користувача, надаючи зловмиснику контроль над зламаною машиною та можливостями віддаленого виконання коду (RCE). Шарма сказав, що інтерпретатор зворотних команд працює лише в операційних системах на базі UNIX.
Розробники повинні змінити ідентифікатори, секрети та ключі
У рекомендації npm зазначається, що розробники, які могли встановити шкідливий пакет до його видалення, знаходяться під загрозою.
"Будь-який комп'ютер, на якому встановлений або працює цей пакет, слід вважати повністю скомпрометованим", - заявила команда безпеки npm у понеділок, підтверджуючи розслідування Sonatype.