Kişisel tanımlanabilir bilgileri çalmak amacıyla en az 218 kötü amaçlı NPM paketiyle Azure geliştiricilerini hedef alan yeni bir büyük ölçekli tedarik zinciri saldırısı gözlemlendi.
“Bu paketlerden bazılarını manuel olarak inceledikten sonra, bunun tüm paketlere yönelik bir hedefli saldırı olduğu ortaya çıktı. @azure NPM kapsamıJFrog araştırmacıları Andrey Polkovnychenko ve Shachar Menashe, hesap oluşturmak ve bu kapsamın tamamını kapsayan kötü amaçlı paketler yüklemek için otomatik bir komut dosyası kullanan bir saldırgan tarafından. dedim yeni bir raporda.
Kötü amaçlı paketlerin tamamı, yayınlandıktan yaklaşık iki gün sonra NPM sahiplerine ifşa edildi, bu da hızlı bir şekilde kaldırılmasına yol açtı, ancak paketlerin her biri ortalama 50 kez indirilmeden önce değildi.
Saldırı, kötü aktörlerin, kullanıcıları kandırarak yüklemeleri için NPM veya PyPI gibi bir kamu yazılım kayıt defterine meşru kitaplıkları taklit eden adlara sahip hileli paketleri ittiğinde gerçekleşen, yazım hatası olarak adlandırılan şeyi ifade eder.
DevSecOps firması tarafından gözlemlenen bu özel durumda, bilinmeyen düşmanın, mevcut @azure kapsam paketleriyle aynı ada sahip, ancak kapsam adı olmayan (örneğin, @azure/core-tracing vs. -izleme).
Araştırmacılar, “Saldırgan, bazı geliştiricilerin bir paketi kurarken yanlışlıkla @azure önekini atlayabileceği gerçeğine güveniyor” dedi. “Örneğin, doğru komut – npm install @azure/core-tracing yerine npm install core-tracing’i yanlışlıkla çalıştırmak.”
Saldırı, şüphe uyandırmaktan kaçınmak için her bir paketi depoya yüklemek için benzersiz bir kullanıcı adını kullanmakla kalmadı, aynı zamanda kötü amaçlı yazılım yüklü kitaplıklarda da yüksek sürüm numaraları (örn. .
Bir geliştirici farkında olmadan bu paketlerden birini kurarsa, dizinleri listelemek ve ayrıca kullanıcının mevcut çalışma dizini ve ağ arayüzleri ve DNS sunucularıyla ilgili IP adresleri hakkında bilgi toplamak için tasarlanmış bir keşif yükünün yürütülmesine yol açar. sabit kodlanmış bir uzak sunucuya sızdı.
Araştırmacılar, “Tedarik zinciri saldırılarının, özellikle NPM ve PyPI paket depoları aracılığıyla hızlı yükselişi nedeniyle, daha fazla inceleme ve azaltmanın eklenmesi gerektiği görülüyor” dedi.
“Örneğin, NPM kullanıcı oluşturmaya bir CAPTCHA mekanizması eklemek, saldırganların kötü niyetli paketlerin yüklenebileceği rastgele sayıda kullanıcıyı kolayca oluşturmasına izin vermez ve saldırı tanımlamasını kolaylaştırır.”