Meer dan 1.000 schadelijke JavaScript-pakketten gevonden in populaire repository
Populaire JavaScript-pakketrepository NPM heeft aangekondigd dat het ongeveer 1.300 kwaadaardige pakketten in zijn archieven heeft opgeschoond. NPM is een resource repository waarmee gebruikers kunnen zoeken naar JavaScript-pakketten die aan hun behoeften voldoen en hun applicatie-afhankelijkheden up-to-date kunnen houden.
Malware verstopt in JS-pakketten
Uit onderzoek van beveiligingsbedrijf WhiteSource blijkt dat het aantal kwaadaardige pakketten dat via NPM wordt gedistribueerd en gedownload de afgelopen maanden aanzienlijk is toegenomen. De aanwezigheid van kwaadaardige code in een applicatie kan betekenen dat de applicatie kan worden gebruikt als een voertuig voor gegevensdiefstal of het verspreiden van malware.
Uit de statistische analyse van de gedetecteerde kwaadaardige pakketten blijkt dat een klein deel ervan, ongeveer 14 procent, werd gebruikt voor gegevensdiefstal en het stelen van inloggegevens, terwijl de meerderheid van de kwaadaardige pakketten, ongeveer 86 procent, werd gebruikt voor passieve verkenning en gegevensverzameling. De op deze manier verkregen gegevens kunnen worden gebruikt om de lancering van grootschalige latere aanvallen op een mogelijk doelwit te ondersteunen.
Slechte acteurs die aanvallen op de toeleveringsketen willen uitvoeren
De reden waarom de aanwezigheid van meer dan duizend kwaadaardige pakketten een probleem is, is dat NPM een enorm populaire repository is. NPM verzorgt wekelijks 20 miljard pakketdownloads en dit duizelingwekkende aantal pakketten wordt vervolgens in webservices over de hele wereld geïnstalleerd.
Enkele van de kwaadaardige pakketten die door WhiteSource zijn ontdekt, zijn:
H98dx, een externe shell
Azure-web-pubsub-express, een module voor het verzamelen van gegevens
mos-sass-loader en css-resources-loader, met RCE-mogelijkheden
Ook al heeft NPM zijn database doorzocht en de kwaadaardige pakketten verwijderd, het is niet te zeggen hoe lang ze beschikbaar zijn geweest en hoeveel mensen ze hebben gedownload en mogelijk in hun applicaties hebben laten vallen. Door te proberen een platform te misbruiken dat zo groot en populair is als NPM, kunnen bedreigingsactoren supply chain-aanvallen uitvoeren die een krachtige upstream-entiteit gebruiken.
