Nisan ayında NPM açık kaynak kod deposunun rutin bir taraması, gerçek işlevlerini gizlemek için bir JavaScript gizleme aracı kullanan birkaç paketi ortaya çıkardı.
Daha fazla araştırmadan sonra, ReversingLabs analistleri, sitelerden ve uygulamalardan veri çalmak için iki düzineden fazla kötü amaçlı NPM modülü kullanan en az altı ay öncesine dayanan bir kampanya ortaya çıkardıklarını bildirdiler. Hep birlikte ekip, kötü niyetli NPM paketlerinin 27.000 örneğinin indirildiğini buldu.
ThreatLabs araştırmacıları bir blog yazısında, “Bu saldırının tam kapsamı henüz bilinmemekle birlikte, keşfettiğimiz kötü amaçlı paketler muhtemelen binlerce olmasa da yüzlerce alt mobil ve masaüstü uygulaması ve web sitesi tarafından kullanılıyor” dedi. “Bir durumda, kötü amaçlı bir paket 17.000’den fazla kez indirildi.”
Saldırı Tipo Çömelmeye Dayanır
Araştırmacılar, saldırının, tehdit aktörlerinin, ince adlandırma varyasyonları ve yaygın yazım hataları da dahil olmak üzere, meşru kodlara çok yakın adlarla kötü niyetli kod paketlerini gizlediği sözde yazım hatasına dayandığını söyledi.
Örneğin, NPM deposunda gizlenen kötü amaçlı paketlerden biri “şemsiyeler” olarak adlandırılıyor ve ReversingLabs ekibi, popüler belge nesne modeli (DOM) çerçevesi “şemsiyeleri” arayan geliştiricileri kaçırma girişiminde bulunuyor.
Analistlerin belirttiğine göre, bu tedarik zincirini SolarWinds saldırısını hatırlatan şey, hedefin kötü niyetli kodu istemeden kullanan geliştirici değil, yazılım tedarik zincirinin aşağısındaki hedef site veya uygulama olduğu gerçeğidir.
ReversingLabs’e göre “Bu saldırı, yazılım tedarik zinciri saldırılarında önemli bir artışa işaret ediyor” kötü niyetli NPM bildiri. “NPM modülleri içinde paketlenmiş kötü amaçlı kod, bilinmeyen sayıda mobil ve masaüstü uygulaması ve web sayfasında çalışıyor ve anlatılmamış miktarda kullanıcı verisi topluyor.”
Analistlerin bulgularını 1 Temmuz’da NPM’ye bildirmesine rağmen, kötü niyetli açık kaynak modüllerinin çoğu hala kullanılabilir durumda. Rapor, etkilenen paketlerin bir listesini içerir.
