Πάνω από 1.000 κακόβουλα πακέτα JavaScript βρέθηκαν στο δημοφιλές αποθετήριο

Το δημοφιλές αποθετήριο πακέτων JavaScript NPM ανακοίνωσε ότι είχε καθαρίσει περίπου 1.300 κακόβουλα πακέτα που βρέθηκαν στα αρχεία του. Το NPM είναι ένα αποθετήριο πόρων που επιτρέπει στους χρήστες να αναζητούν πακέτα JavaScript που ταιριάζουν στις ανάγκες τους και να διατηρούν ενημερωμένες τις εξαρτήσεις των εφαρμογών τους.

Κακόβουλο λογισμικό που κρύβεται σε πακέτα JS

Έρευνα που διεξήχθη από την εταιρεία ασφαλείας WhiteSource έδειξε ότι ο αριθμός των κακόβουλων πακέτων που διανέμονται και κατεβαίνουν μέσω του NPM έχει αυξηθεί σημαντικά τους τελευταίους μήνες. Η παρουσία κακόβουλου κώδικα σε μια εφαρμογή θα μπορούσε να σημαίνει ότι η εφαρμογή μπορεί να χρησιμοποιηθεί ως όχημα για κλοπή δεδομένων ή εξυπηρέτηση κακόβουλου λογισμικού.

Η στατιστική ανατομή των ανιχνευθέντων κακόβουλων πακέτων δείχνει ότι ένα μικρό μέρος αυτών, περίπου το 14%, χρησιμοποιήθηκε για κλοπή δεδομένων και κλοπή διαπιστευτηρίων, ενώ η πλειοψηφία των κακόβουλων πακέτων, περίπου το 86 τοις εκατό, χρησιμοποιήθηκε για παθητική αναγνώριση και συλλογή δεδομένων. Τα δεδομένα που λαμβάνονται με αυτόν τον τρόπο θα μπορούσαν να χρησιμοποιηθούν για να υποστηρίξουν την έναρξη μεταγενέστερων επιθέσεων πλήρους κλίμακας σε μια πιθανή στοχευμένη οντότητα.

Κακοί ηθοποιοί που θέλουν να εκτελέσουν επιθέσεις με αλυσίδα εφοδιασμού

Ο λόγος για τον οποίο η παρουσία πάνω από χίλια κακόβουλα πακέτα είναι ένα ζήτημα είναι ότι το NPM είναι ένα εξαιρετικά δημοφιλές αποθετήριο. Το NPM εξυπηρετεί 20 δισεκατομμύρια λήψεις πακέτων κάθε εβδομάδα και αυτός ο εκπληκτικός αριθμός πακέτων εγκαθίσταται στη συνέχεια σε υπηρεσίες web σε όλο τον κόσμο.

Μερικά από τα κακόβουλα πακέτα που ανακαλύφθηκαν από το WhiteSource περιλαμβάνουν:

H98dx, ένα απομακρυσμένο κέλυφος

Azure-web-pubsub-express, μια ενότητα συλλογής δεδομένων

mos-sass-loader και css-resources-loader, δίνοντας δυνατότητες RCE

Παρόλο που το NPM πέρασε από τη βάση δεδομένων του και αφαίρεσε τα κακόβουλα πακέτα, δεν υπάρχει καμία ένδειξη για πόσο καιρό ήταν διαθέσιμα και πόσοι άνθρωποι τα έχουν κατεβάσει και ενδεχομένως τα έχουν πέσει στις εφαρμογές τους. Η απόπειρα κατάχρησης μιας πλατφόρμας τόσο μεγάλης και τόσο δημοφιλής όσο το NPM επιτρέπει στους παράγοντες απειλών να πραγματοποιούν επιθέσεις εφοδιαστικής αλυσίδας που χρησιμοποιούν μια ισχυρή οντότητα ανάντη.