W popularnym repozytorium znaleziono ponad 1000 złośliwych pakietów JavaScript
Popularne repozytorium pakietów JavaScript NPM ogłosiło, że wyczyściło około 1300 szkodliwych pakietów znalezionych w jego archiwach. NPM to repozytorium zasobów, które umożliwia użytkownikom wyszukiwanie pakietów JavaScript odpowiadających ich potrzebom i aktualizowanie zależności aplikacji.
Ukrywanie złośliwego oprogramowania w pakietach JS
Badania przeprowadzone przez firmę zajmującą się bezpieczeństwem WhiteSource wykazały, że liczba szkodliwych pakietów dystrybuowanych i pobieranych za pośrednictwem NPM znacznie wzrosła w ciągu ostatnich kilku miesięcy. Obecność złośliwego kodu w aplikacji może oznaczać, że aplikacja może być wykorzystywana do kradzieży danych lub udostępniania złośliwego oprogramowania.
Statystyczna analiza wykrytych szkodliwych pakietów pokazuje, że niewielka ich część, około 14%, była wykorzystywana do kradzieży danych i poświadczeń, podczas gdy większość szkodliwych pakietów, około 86%, była wykorzystywana do pasywnego rozpoznania i gromadzenia danych. Uzyskane w ten sposób dane mogłyby zostać wykorzystane do wsparcia przeprowadzenia późniejszych ataków na pełną skalę na potencjalny podmiot docelowy.
Źli aktorzy chcący przeprowadzić ataki w łańcuchu dostaw
Powodem, dla którego obecność ponad tysiąca złośliwych pakietów jest problemem, jest fakt, że NPM jest niezwykle popularnym repozytorium. NPM obsługuje 20 miliardów pobrań pakietów tygodniowo, a ta oszałamiająca liczba pakietów jest następnie instalowana w usługach internetowych na całym świecie.
Niektóre złośliwe pakiety wykryte przez WhiteSource obejmują:
H98dx, zdalna powłoka
Azure-web-pubsub-express, moduł gromadzenia danych
mos-sass-loader i css-resources-loader, dające możliwości RCE
Mimo że NPM przejrzał swoją bazę danych i usunął złośliwe pakiety, nie wiadomo, jak długo były one dostępne i ile osób je pobrało i potencjalnie upuściło w swoich aplikacjach. Próba nadużycia platformy tak dużej i tak popularnej jak NPM umożliwia cyberprzestępcom przeprowadzanie ataków w łańcuchu dostaw, które wykorzystują potężny podmiot wyższego szczebla.
