Oltre 1.000 pacchetti JavaScript dannosi trovati nel repository popolare
Il popolare repository di pacchetti JavaScript NPM ha annunciato di aver ripulito circa 1.300 pacchetti dannosi trovati nei suoi archivi. NPM è un repository di risorse che consente agli utenti di cercare pacchetti JavaScript adatti alle loro esigenze e di mantenere aggiornate le dipendenze delle applicazioni.
Nascondere malware nei pacchetti JS
La ricerca condotta dalla società di sicurezza WhiteSource ha mostrato che il numero di pacchetti dannosi distribuiti e scaricati tramite NPM è cresciuto in modo significativo negli ultimi mesi. La presenza di codice dannoso in un'applicazione potrebbe significare che l'applicazione può essere utilizzata come veicolo per il furto di dati o per servire malware.
L'analisi statistica dei pacchetti dannosi rilevati mostra che una piccola parte di essi, circa il 14%, è stata utilizzata per il furto di dati e il furto di credenziali, mentre la maggior parte dei pacchetti dannosi, circa l'86%, è stata utilizzata per la ricognizione passiva e la raccolta di dati. I dati ottenuti in questo modo potrebbero essere utilizzati per supportare il lancio di attacchi successivi su vasta scala contro una potenziale entità presa di mira.
Cattivi attori che cercano di eseguire attacchi alla catena di approvvigionamento
Il motivo per cui la presenza di oltre mille pacchetti dannosi è un problema è che NPM è un repository estremamente popolare. NPM serve 20 miliardi di download di pacchetti ogni settimana e questo incredibile numero di pacchetti viene poi installato nei servizi web di tutto il mondo.
Alcuni dei pacchetti dannosi scoperti da WhiteSource includono:
H98dx, una shell remota
Azure-web-pubsub-express, un modulo di raccolta dati
mos-sass-loader e css-resources-loader, fornendo funzionalità RCE
Anche se NPM ha esaminato il suo database e ha eliminato i pacchetti dannosi, non si sa da quanto tempo sono disponibili e quante persone li hanno scaricati e potenzialmente rilasciati nelle loro applicazioni. Il tentativo di abusare di una piattaforma grande e popolare come NPM consente agli attori delle minacce di mettere a punto attacchi alla catena di approvvigionamento che utilizzano una potente entità a monte.
