Атака на немецкие компании через NPM-пакеты
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Раскрыта новая порция вредоносных NPM-пакетов, созданных для целевых атак на немецкие компании Bertelsmann, Bosch, Stihl и DB Schenker. Для атаки использован метод смешивания зависимостей, манипулирующий пересечением имён зависимостей в публичных и внутренних репозиториях. В имеющихся в публичном доступе приложениях атакующие находят следы обращения ко внутренним NPM-пакетам, загружаемым из корпоративных репозиториев, поле чего размещают пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет.
В отличие от ранее фиксированных попыток подмены внутренних пакетов, как правило предпринимаемых исследователями безопасности с целью получения вознаграждения за выявление уязвимостей в продуктах крупных компаний, обнаруженные пакеты не содержат уведомлений о проведении тестирования и включают обфусцированный рабочий вредоносный код, загружающий и запускающий бэкдор для удалённого управления поражённой системой.
Общий список участвовавших в атаке пакетов не сообщается, в качестве примера лишь упоминаются пакеты gxm-reference-web-auth-server, ldtzstxwzpntxqn и lznfjbhurpjsqmr, которые были размещены под учётной записью boschnodemodules в репозитории NPM с более новыми номерами версий 0.5.70 и 4.0.49, чем исходные внутренние пакеты. Пока непонятно, как атакующим удалось узнать названия и версии внутренних библиотек, упоминание которых отсутствует в открытых репозиториях. Предполагается, что сведения были получены в результате внутренних утечек информации. Администрация NPM получила уведомление о вредоносных пакетах спустя 4 часа после публикации.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://jfrog.com/blog/npm-sup...)
- OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
- OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
- OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
Похожие новости:
- Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
- GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- Предложен метод атаки для удалённого определения фрагментов памяти на сервере
- Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
- Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак
Теги для поиска: #_npm, #_attack
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Апр 18:38
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Раскрыта новая порция вредоносных NPM-пакетов, созданных для целевых атак на немецкие компании Bertelsmann, Bosch, Stihl и DB Schenker. Для атаки использован метод смешивания зависимостей, манипулирующий пересечением имён зависимостей в публичных и внутренних репозиториях. В имеющихся в публичном доступе приложениях атакующие находят следы обращения ко внутренним NPM-пакетам, загружаемым из корпоративных репозиториев, поле чего размещают пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет. В отличие от ранее фиксированных попыток подмены внутренних пакетов, как правило предпринимаемых исследователями безопасности с целью получения вознаграждения за выявление уязвимостей в продуктах крупных компаний, обнаруженные пакеты не содержат уведомлений о проведении тестирования и включают обфусцированный рабочий вредоносный код, загружающий и запускающий бэкдор для удалённого управления поражённой системой. Общий список участвовавших в атаке пакетов не сообщается, в качестве примера лишь упоминаются пакеты gxm-reference-web-auth-server, ldtzstxwzpntxqn и lznfjbhurpjsqmr, которые были размещены под учётной записью boschnodemodules в репозитории NPM с более новыми номерами версий 0.5.70 и 4.0.49, чем исходные внутренние пакеты. Пока непонятно, как атакующим удалось узнать названия и версии внутренних библиотек, упоминание которых отсутствует в открытых репозиториях. Предполагается, что сведения были получены в результате внутренних утечек информации. Администрация NPM получила уведомление о вредоносных пакетах спустя 4 часа после публикации. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Апр 18:38
Часовой пояс: UTC + 5