Güvenlik uzmanları, yakın zamanda 200’den fazla kötü amaçlı npm paketinin npm kayıt defterinden kaldırıldığını onayladı.
Paketlerin amacı, Microsoft Azure geliştiricilerinin uç noktalarından kişisel olarak tanımlanabilir bilgileri (PII) çalmaktı.
gelen bir rapora göre Kayıt, güvenlik firması JFrog’un deponun otomatik analizi, bu hafta başlarında şüpheli yüklemeler hakkında alarm vermeye başladı. Manuel inceleme, o zamandan beri tamamı kötü amaçlı yazılım olan 200’den fazla paketten oluşan bir grubu ortaya çıkardı.
“Bu paketlerden bazılarını manuel olarak inceledikten sonra, bunun, hesap oluşturmak ve bu kapsamın tamamını kapsayan kötü amaçlı paketleri yüklemek için otomatik bir komut dosyası kullanan bir saldırgan tarafından @azure npm kapsamının tamamına yönelik hedefli bir saldırı olduğu ortaya çıktı.” güvenlik araştırmacıları Andrey Polkovnychenko ve Shachar Menashe, makalelerinde şunları söyledi: analiz olayın.
insanları kandırmak
Saldırganlar, geliştiricileri kandırmak amacıyla, kötü niyetli paketlere, kötü niyetli olmayan benzerleriyle aynı adı verdi ve @azure kapsam tanımlayıcısı eksikti.
Araştırmacılar, “Saldırgan, bazı geliştiricilerin bir paketi kurarken yanlışlıkla @azure önekini atlayabileceği gerçeğine güveniyor” dedi. “Örneğin, doğru komut – npm install @azure/core-tracing yerine npm install core-tracing’i yanlışlıkla çalıştırmak.”
Ancak saldırganların insanları bu kötü niyetli paketleri indirmeleri için kandırmaya çalışmasının tek yolu bu değil. Ayrıca, dahili npm özel proxy’lerinin önce paketlerin daha yeni sürümlerini aramasını umarak yüksek sürüm numaraları eklediler.
Son olarak, saldırganlar, muhtemelen yaygın algılama yöntemlerinden kaçınma umuduyla, her yükleme için benzersiz bir kullanıcı adı oluşturan otomatik bir komut dosyası aracılığıyla paketleri yükledi.
Toplamda 218 kötü amaçlı paket yüklendi ve iki gün boyunca yürürlükte kaldı. Bu süre zarfında, her biri ortalama 50 kez indirildi ve toplamda yaklaşık 10.000 potansiyel kurban oldu.
Üzerinden Kayıt
