В популярном репозитории обнаружено более 1000 вредоносных пакетов JavaScript
Популярный репозиторий пакетов JavaScript NPM объявил, что очистил около 1300 вредоносных пакетов, обнаруженных в его архивах. NPM — это репозиторий ресурсов, который позволяет пользователям искать пакеты JavaScript, соответствующие их потребностям, и обновлять зависимости своих приложений.
Вредоносное ПО, скрывающееся в JS-пакетах
Исследование, проведенное фирмой по безопасности WhiteSource, показало, что количество вредоносных пакетов, распространяемых и загружаемых через NPM, значительно выросло за последние несколько месяцев. Наличие вредоносного кода в приложении может означать, что приложение может быть использовано в качестве средства для кражи данных или распространения вредоносных программ.
Статистический анализ обнаруженных вредоносных пакетов показывает, что небольшая их часть, около 14%, использовалась для кражи данных и кражи учетных данных, тогда как большинство вредоносных пакетов, около 86%, использовались для пассивной разведки и сбора данных. Полученные таким образом данные могут быть использованы для поддержки запуска полномасштабных последующих атак на потенциальную цель.
Злоумышленники, пытающиеся осуществить атаки на цепочку поставок
Причина, по которой наличие более тысячи вредоносных пакетов является проблемой, заключается в том, что NPM является чрезвычайно популярным репозиторием. Каждую неделю NPM обслуживает 20 миллиардов загрузок пакетов, и это ошеломляющее количество пакетов затем устанавливается в веб-сервисах по всему миру.
Некоторые из вредоносных пакетов, обнаруженных WhiteSource, включают:
H98dx, удаленная оболочка
Azure-web-pubsub-express, модуль сбора данных
mos-sass-loader и css-resources-loader, предоставляющие возможности RCE
Несмотря на то, что NPM действительно просмотрел свою базу данных и удалил вредоносные пакеты, неизвестно, как долго они были доступны и сколько людей загрузили их и потенциально добавили в свои приложения. Попытка злоупотребить такой крупной и популярной платформой, как NPM, позволяет злоумышленникам проводить атаки на цепочку поставок с использованием мощного вышестоящего объекта.
