Kwaadaardige NPM-pakketten richten zich op Duitse bedrijven bij aanval op supply chain

Ataque a la cadena de suministro Nachrichten

Cybersecurity-onderzoekers hebben een aantal kwaadaardige pakketten in het NPM-register ontdekt die specifiek gericht zijn op een aantal prominente bedrijven in Duitsland om supply chain-aanvallen uit te voeren.

„Vergeleken met de meeste malware in de NPM-repository, lijkt deze payload bijzonder gevaarlijk: een zeer geavanceerd, versluierd stukje malware dat als een achterdeur fungeert en de aanvaller de volledige controle over de geïnfecteerde machine geeft“, onderzoekers van JFrog zei in een nieuw rapport.

Het DevOps-bedrijf zei dat er aanwijzingen zijn dat het ofwel het werk is van een geavanceerde dreigingsactor of een „zeer agressieve“ penetratietest.

Alle malafide pakketten, waarvan de meeste sindsdien uit de repository zijn verwijderd, zijn terug te voeren op vier „onderhouders“ – bertelsmannnpm, boschnodemodules, stihlnodemodules en dbschenkernpm – wat wijst op een poging om legitieme bedrijven zoals Bertelsmann, Bosch, Stihl en DB te imiteren Schenker.

Sommige pakketnamen zouden zeer specifiek zijn, wat de mogelijkheid vergroot dat de tegenstander erin slaagde de bibliotheken te identificeren die in de interne repositories van de bedrijven werden gehost met als doel een aanval op afhankelijkheidsverwarring te organiseren.

Aanval in de toeleveringsketen

De bevindingen bouwen voort op een verslag doen van van Snyk eind vorige maand, waarin een van de beledigende pakketten, „gxm-reference-web-auth-server“, werd beschreven, waarbij werd opgemerkt dat de malware zich richt op een onbekend bedrijf dat hetzelfde pakket in hun privéregister heeft.

„De aanvaller(s) hadden waarschijnlijk informatie over het bestaan ​​van een dergelijk pakket in het privéregister van het bedrijf“, aldus het Snyk-beveiligingsonderzoeksteam.

JFrog noemde het implantaat een ‚in-house ontwikkeling‘ en wees erop dat de malware twee componenten herbergt, een druppelaar die informatie over de geïnfecteerde machine naar een externe telemetrieserver stuurt voordat het een JavaScript-achterdeur ontsleutelt en uitvoert.

Hoewel de achterdeur geen persistentiemechanisme heeft, is het ontworpen om opdrachten te ontvangen en uit te voeren die zijn verzonden vanaf een hardgecodeerde command-and-control-server, willekeurige JavaScript-code te evalueren en bestanden terug naar de server te uploaden.

„De aanval is zeer gericht en is gebaseerd op moeilijk te verkrijgen voorkennis“, aldus de onderzoekers. Maar aan de andere kant: „de gebruikersnamen die in het NPM-register werden aangemaakt, probeerden niet het beoogde bedrijf te verbergen.“

David
Rate author
Hackarizona