Er is een “logische fout” onthuld in NPM, de standaardpakketbeheerder voor de Node.js JavaScript-runtime-omgeving, die kwaadwillende actoren in staat stelt om malafide bibliotheken voor legitiem te houden en nietsvermoedende ontwikkelaars te misleiden om ze te installeren.
De supply chain-dreiging is door onderzoekers van cloudbeveiligingsbedrijf Aqua “Package Planting” genoemd. Na verantwoorde bekendmaking op 10 februari is het onderliggende probleem op 26 april verholpen door NPM.
“Tot voor kort stond NPM iedereen toe als beheerder van het pakket zonder deze gebruikers op de hoogte te stellen of hun toestemming te krijgen,” Aqua’s Yakir Kadkoda zei in een dinsdag gepubliceerd rapport.
Dit betekende in feite dat een kwaadwillende pakketten met malware kon maken en deze zonder hun medeweten aan vertrouwde, populaire beheerders kon toewijzen.
Het idee hier is om geloofwaardige eigenaren die geassocieerd zijn met andere populaire NPM-bibliotheken toe te voegen aan het door de aanvaller gecontroleerde vergiftigde pakket in de hoop dat dit ontwikkelaars zou aantrekken om het te downloaden.
De gevolgen van een dergelijke supply chain-aanval zijn om een aantal redenen aanzienlijk. Het geeft niet alleen een vals gevoel van vertrouwen bij ontwikkelaars, het kan ook reputatieschade toebrengen aan legitieme pakketbeheerders.
De onthulling komt als Aqua onbedekt nog twee fouten in het NPM-platform met betrekking tot tweefactorauthenticatie (2FA) die kunnen worden misbruikt om aanvallen op accountovernames te vergemakkelijken en kwaadaardige pakketten te publiceren.
“Het grootste probleem is dat elke npm-gebruiker dit kan doen en andere NPM-gebruikers kan toevoegen als beheerders van hun eigen pakket,” zei Kadkoda. “Uiteindelijk zijn ontwikkelaars verantwoordelijk voor welke open source-pakketten ze gebruiken bij het bouwen van applicaties.”
