Er is een nieuwe grootschalige supply chain-aanval waargenomen die gericht is op Azure-ontwikkelaars met niet minder dan 218 kwaadaardige NPM-pakketten met als doel persoonlijk identificeerbare informatie te stelen.
“Na enkele van deze pakketten handmatig te hebben geïnspecteerd, werd duidelijk dat dit een gerichte aanval was op de hele” @azure NPM-bereikdoor een aanvaller die een automatisch script gebruikte om accounts aan te maken en kwaadaardige pakketten te uploaden die het volledige bereik bestrijken,” JFrog-onderzoekers Andrey Polkovnychenko en Shachar Menashe zei in een nieuw rapport.
De volledige set kwaadaardige pakketten werd ongeveer twee dagen nadat ze waren gepubliceerd aan de NPM-beheerders bekendgemaakt, wat leidde tot een snelle verwijdering, maar niet voordat elk van de pakketten gemiddeld ongeveer 50 keer was gedownload.
De aanval verwijst naar wat typosquatting wordt genoemd, dat plaatsvindt wanneer kwaadwillende pakketten met namen die legitieme bibliotheken nabootsen, naar een openbaar softwareregister zoals NPM of PyPI pushen in de hoop gebruikers te misleiden om ze te installeren.
In dit specifieke geval waargenomen door het DevSecOps-bedrijf, zou de tegenstander tientallen kwaadaardige tegenhangers hebben gemaakt met dezelfde naam als hun bestaande @azure scope-pakketten, maar zonder de scope-naam (bijv. @azure/core-tracing vs. core- traceren).
“De aanvaller vertrouwt erop dat sommige ontwikkelaars het voorvoegsel @azure per ongeluk weglaten bij het installeren van een pakket”, aldus de onderzoekers. “Bijvoorbeeld het per ongeluk uitvoeren van npm install core-tracing, in plaats van de juiste opdracht – npm install @azure/core-tracing.”
Niet alleen maakte de aanval gebruik van een unieke gebruikersnaam om elk pakket naar de repository te uploaden om argwaan te voorkomen, de malware-geregen bibliotheken bevatten ook hoge versienummers (bijv. 99.10.9), wat wijst op een poging om een afhankelijkheidsverwarringsaanval uit te voeren. .
Als een ontwikkelaar onbewust een van deze pakketten installeert, leidt dit tot de uitvoering van een verkenningslading die is ontworpen om mappen op te sommen en informatie te verzamelen over de huidige werkmap van de gebruiker en IP-adressen met betrekking tot netwerkinterfaces en DNS-servers, die allemaal zijn geëxfiltreerd naar een hardcoded externe server.
“Vanwege de snelle opkomst van supply chain-aanvallen, vooral via de NPM- en PyPI-pakketrepositories, lijkt het erop dat er meer controle en mitigatie moet worden toegevoegd”, aldus de onderzoekers.
“Bijvoorbeeld door een CAPTCHA-mechanisme toe te voegen bij het maken van npm-gebruikers, zouden aanvallers niet gemakkelijk een willekeurig aantal gebruikers kunnen maken van waaruit kwaadaardige pakketten kunnen worden geüpload, waardoor de identificatie van aanvallen eenvoudiger wordt.”
