Een bedreigingsacteur genaamd “ROOD-LILI” is gekoppeld aan een lopende grootschalige aanvalscampagne voor de toeleveringsketen gericht op de NPM-pakketrepository door bijna 800 kwaadaardige modules te publiceren.
“Gewoonlijk gebruiken aanvallers een anonieme NPM-account waarmee ze hun aanvallen lanceren”, zegt het Israëlische beveiligingsbedrijf Checkmarx . zei. “Het lijkt er deze keer op dat de aanvaller het proces van het aanmaken van NPM-accounts volledig heeft geautomatiseerd en speciale accounts heeft geopend, één per pakket, waardoor zijn nieuwe kwaadaardige pakketten moeilijker te herkennen zijn.”
De bevindingen bouwen voort op recente rapporten van JFrog en sonatypedie beide honderden NPM-pakketten bevatten die gebruikmaken van technieken zoals afhankelijkheidsverwarring en typosquatting om Azure-, Uber- en Airbnb-ontwikkelaars te targeten.
Volgens een gedetailleerde analyse van de modus operandi van RED-LILI, zou het eerste bewijs van afwijkende activiteit hebben plaatsgevonden op 23 februari 2022, waarbij het cluster van kwaadaardige pakketten in “bursts” over een periode van een week werd gepubliceerd.
In het bijzonder omvat het automatiseringsproces voor het uploaden van de malafide bibliotheken naar NPM, dat Checkmarx beschreef als een “fabriek”, het gebruik van een combinatie van aangepaste Python-code en webtesttools zoals Selenium om gebruikersacties te simuleren die nodig zijn voor het repliceren van het gebruikerscreatieproces in het register .
Om voorbij de verificatiebarrière voor eenmalig wachtwoord (OTP) te komen die door NPM is ingesteld, gebruikt de aanvaller een open-sourcetool genaamd Interactsh om de OTP te extraheren die door NPM-servers is verzonden naar het e-mailadres dat tijdens het aanmelden is opgegeven, zodat het verzoek om een account te maken kan slagen.
Gewapend met dit gloednieuwe NPM-gebruikersaccount gaat de dreigingsactor vervolgens door met het maken en publiceren van een kwaadaardig pakket, slechts één per account, op een geautomatiseerde manier, maar niet voordat een toegangstoken om het pakket te publiceren zonder een e-mail OTP-challenge.
“Terwijl supply chain-aanvallers hun vaardigheden verbeteren en het leven van hun verdedigers moeilijker maken, markeert deze aanval een nieuwe mijlpaal in hun vooruitgang”, aldus de onderzoekers. “Door de pakketten over meerdere gebruikersnamen te verdelen, maakt de aanvaller het moeilijker voor verdedigers om te correleren [and] haal ze allemaal neer met ‘één slag’. Daardoor wordt de kans op besmetting natuurlijk groter.”
