Több mint 1000 rosszindulatú JavaScript-csomag található a népszerű adattárban

A népszerű JavaScript-csomagok tárháza, az NPM bejelentette, hogy kitisztította az archívumában talált mintegy 1300 rosszindulatú csomagot. Az NPM egy olyan erőforrás-tár, amely lehetővé teszi a felhasználók számára, hogy az igényeiknek megfelelő JavaScript-csomagokat keressenek, és naprakészen tartsák az alkalmazásfüggőségeiket.

Rosszindulatú programok rejtőznek a JS-csomagokban

A WhiteSource biztonsági cég kutatása kimutatta, hogy az NPM-en keresztül terjesztett és letöltött rosszindulatú csomagok száma jelentősen megnőtt az elmúlt hónapokban. A rosszindulatú kód jelenléte egy alkalmazásban azt jelentheti, hogy az alkalmazás adatlopás vagy rosszindulatú programok kiszolgálásának eszközeként használható.

Az észlelt rosszindulatú csomagok statisztikai bontása azt mutatja, hogy ezek kis részét, mintegy 14 százalékát adatlopásra és hitelesítő adatok ellopására, míg a rosszindulatú csomagok többségét, mintegy 86 százalékát passzív felderítésre és adatgyűjtésre használták. Az így nyert adatok felhasználhatók egy potenciálisan megcélzott entitás elleni teljes körű későbbi támadások indításához.

Rossz színészek, akik ellátási lánc elleni támadást akarnak végrehajtani

A több mint ezer rosszindulatú csomag jelenléte az az oka, hogy az NPM rendkívül népszerű adattár. Az NPM hetente 20 milliárd csomagletöltést szolgál ki, és ezt a megdöbbentő számú csomagot ezután a világ minden táján telepítik a webszolgáltatásokba.

A WhiteSource által felfedezett rosszindulatú csomagok közül néhány:

H98dx, egy távoli héj

Azure-web-pubsub-express, adatgyűjtési modul

mos-sass-loader és css-resources-loader, RCE-képességeket biztosítva

Annak ellenére, hogy az NPM végigment az adatbázisán, és eltávolította a rosszindulatú csomagokat, nem lehet tudni, mennyi ideje érhetők el, és hányan töltötték le őket, és hányan dobták el őket az alkalmazásaikba. Az NPM-hez hasonló nagy és népszerű platformmal való visszaélés kísérlete lehetővé teszi a fenyegetés szereplői számára, hogy olyan ellátási lánc támadásokat hajtsanak végre, amelyek egy erős upstream entitást használnak.