Över 1 000 skadliga JavaScript-paket hittade i populärt arkiv

Det populära JavaScript-paketförrådet NPM meddelade att det hade rensat upp omkring 1 300 skadliga paket som hittats i dess arkiv. NPM är ett resursförråd som låter användare söka efter JavaScript-paket som passar deras behov och hålla sina applikationsberoenden uppdaterade.

Skadlig programvara gömmer sig i JS-paket

Forskning utförd av säkerhetsföretaget WhiteSource visade att antalet skadliga paket som distribueras och laddas ner via NPM har vuxit avsevärt under de senaste månaderna. Förekomsten av skadlig kod i en applikation kan innebära att applikationen kan användas som ett fordon för datastöld eller skadlig programvara.

Den statistiska dissektionen av de upptäckta skadliga paketen visar att en liten del av dem, cirka 14 procent, användes för datastöld och att stjäla referenser, medan majoriteten av de skadliga paketen, cirka 86 procent, användes för passiv spaning och datainsamling. De uppgifter som erhålls på detta sätt skulle kunna användas för att stödja lanseringen av senare fullskaliga attacker mot en potentiell målinriktad enhet.

Dåliga skådespelare som vill utföra attacker i leveranskedjan

Anledningen till att närvaron av över tusen skadliga paket är ett problem är att NPM är ett enormt populärt arkiv. NPM betjänar 20 miljarder paketnedladdningar varje vecka och detta häpnadsväckande antal paket installeras sedan i webbtjänster över hela världen.

Några av de skadliga paket som upptäckts av WhiteSource inkluderar:

H98dx, ett fjärrskal

Azure-web-pubsub-express, en datainsamlingsmodul

mos-sass-loader och css-resources-loader, vilket ger RCE-funktioner

Även om NPM gick igenom sin databas och tog ner de skadliga paketen, går det inte att säga hur länge de har varit tillgängliga och hur många personer som har laddat ner dem och eventuellt tappat dem i sina applikationer. Ett försök att missbruka en så stor och lika populär plattform som NPM tillåter hotaktörer att genomföra attacker i leveranskedjan som använder en kraftfull uppströmsenhet.