Раскрыта новая порция вредоносных NPM-пакетов, созданных для целевых атак на немецкие компании Bertelsmann, Bosch, Stihl и DB Schenker. Для атаки использован метод смешивания зависимостей, манипулирующий пересечением имён зависимостей в публичных и внутренних репозиториях. В имеющихся в публичном доступе приложениях атакующие находят следы обращения ко внутренним NPM-пакетам, загружаемым из корпоративных репозиториев, поле чего размещают пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет.

В отличие от ранее фиксированных попыток подмены внутренних пакетов, как правило предпринимаемых исследователями безопасности с целью получения вознаграждения за выявление уязвимостей в продуктах крупных компаний, обнаруженные пакеты не содержат уведомлений о проведении тестирования и включают обфусцированный рабочий вредоносный код, загружающий и запускающий бэкдор для удалённого управления поражённой системой.

Общий список участвовавших в атаке пакетов не сообщается, в качестве примера лишь упоминаются пакеты gxm-reference-web-auth-server, ldtzstxwzpntxqn и lznfjbhurpjsqmr, которые были размещены под учётной записью boschnodemodules в репозитории NPM с более новыми номерами версий 0.5.70 и 4.0.49, чем исходные внутренние пакеты. Пока непонятно, как атакующим удалось узнать названия и версии внутренних библиотек, упоминание которых отсутствует в открытых репозиториях. Предполагается, что сведения были получены в результате внутренних утечек информации. Администрация NPM получила уведомление о вредоносных пакетах спустя 4 часа после публикации.

Источник: http://www.opennet.ru/opennews/art.shtml?num=57177