npm փաթեթի registry-ին ճանաչվել է որպես ևս մեկ խիստ թիրախավորված հարձակման արշավի թիրախ, որի հիմնական նպատակն է մոդուլների ներբեռնմամբ ծրագրավորողներին մոլորեցնելը:
Ծրագրային ապահովման մատակարարման անվտանգության Phylum ընկերությունը The Hacker News-ին ասել է, որ գործունեությունը հետապնդում է այն նույն նպատակը, ինչը և ունեցել է նախորդ հարձակման ալիքը, որը բացահայտվեց դեռևս նախորդ ամսում:
Հարձակման շղթան սկսվում է package.json ֆայլով՝ postinstall hook-ով, որը տեղադրման ժամանակ գործարկում է index.js ֆայլը: Վերջինս օգտագործում է օրինական pm2 module-ը՝ գործարկելու deemon պրոցեսը, որն էլ իր հերթին, ընթերցում է մեկ այլ՝ app.js անունով JavaScript ֆայլը:
JavaScript-ի կոդը նախատեսված է remote սերվերի հետ «ql.rustdesk[.]net» տիրույթում encrypted two-way հաղորդակցություն սկսելու համար: Կեղծ domain-ը քողարկվում է օրինական RustDesk-ի անվան տակ և փաթեթի տեղադրումից ընդամենը 45 վայրկյան անց այն սկսում է արտածել համակարգի հիմնական ինֆորմացիան:
Ընթացքը հանգեցնում է npm-ում հայտնի Ethereum փաթեթի typosquat տարբերակի հայտնաբերմանը, որը մշակված է չինական սերվերներում HTTP հարցումները կատարելու համար («wallet.cba123[.]cn», որը պարունակում է օգտատիրոջ գաղտնագրման key-ին):
Ավելին, հայտնի NuGet փաթեթը՝ Moq-ը, քննադատության է արժանացել այն բանից հետո, երբ անցյալ շաբաթ թողարկված փաթեթի նոր տարբերակները՝ 4.20.0 և 4.20.1, որոնք կոչվում են SponsorLink, ինչն էլ հավաքագրում է SHA-256 ծրագրավորողների էլ. հասցեների hash-երը։
Վերջերս կազմակերպություններն ավելի ու ավելի խոցելի են դարձել նման շփոթություն առաջացնող հարձակումների նկատմամբ, ինչը ծրագրավորողներին ուղղորդում է դեպի խոցելի կամ վնասակար ծածկագրեր, որոնք հետագայում հանգեցնում են լայնածավալ հարձակումների:
Կազմակերպության ներքին շրջանակներում խորհուրդ է տրվում հրապարակել ներքին փաթեթները և հանրային ռեգիստրում պահպանել այդ փաթեթների անունները՝ հետագա հնարավոր չարաշահումը կանխատեսելու և կանխելու համար:
Աղբյուրը՝ https://thehackernews.com/