Mehr als zweihundert schädliche npm-Pakete wurden kürzlich aus der npm-Registrierung entfernt, bestätigten Sicherheitsspezialisten.

Der Zweck der Pakete bestand darin, personenbezogene Daten (PII) von Microsoft Azure-Entwicklerendpunkten zu stehlen.

Laut einem Bericht in The Register hat die Sicherheitsfirma JFrog Anfang dieser Woche damit begonnen, verdächtige Downloads zu markieren. Seitdem hat die manuelle Überprüfung eine Sammlung von mehr als zweihundert Paketen entdeckt, die alle im Wesentlichen Malware waren.

„Nachdem bestimmte dieser Pakete manuell untersucht wurden, wurde klar, dass dies ein gezielter Angriff auf den gesamten Bereich von @azure npm war, von einem Angreifer, der ein automatisiertes Skript verwendete, um Konten zu erstellen und bösartige Pakete herunterzuladen, die diesen gesamten Bereich umfassen. », Sicherheit Gelehrte. Andrey Polkovnychenko und Shachar Menashe erklärten in ihrer Analyse des Unfalls.

Menschen belügen

In einem Versuch, Entwickler zu täuschen, gaben die Angreifer den bösartigen Paketen genau den gleichen Namen wie ihren nicht böswilligen Gegenstücken, ohne die Bereichskennung @azure.

„Der Angreifer verlässt sich darauf, dass bestimmte Entwickler bei der Installation eines Bundles versehentlich das @azure-Präfix entfernen können“, erklärten die Wissenschaftler. „Beispiel: Ausführen von npm install core-tracing on failure anstelle des richtigen Befehls: npm install @azure/core-tracing.“

Aber das ist nicht die einzige Möglichkeit, mit der Angreifer versucht haben, Menschen dazu zu bringen, diese bösartigen Pakete herunterzuladen. Sie fügten auch hohe Versionsnummern hinzu, in der Hoffnung, dass die internen privaten Proxys von npm zuerst nach neuen Paketversionen suchen.

Letztendlich luden die Angreifer die Pakete über ein automatisiertes Skript herunter, das für jeden Download einen eindeutigen Benutzernamen erstellte, wahrscheinlich in der Hoffnung, gängige Erkennungsmethoden zu umgehen.

Insgesamt wurden zweihundertachtzehn bösartige Pakete heruntergeladen und einige Tage lang fortgesetzt. In diesem Zeitraum wurden sie durchschnittlich jeweils fünfzig Mal heruntergeladen, mit insgesamt etwa zehn potenziellen Opfern.

Durch die Registrierung

Teilen Sie es