En storskalig försörjningskedjasattack har upptäckts som använde 218 skadliga NPM-paket.
Forskare från JFrog hävdar att flera av deras automatiserade analysatorer började slänga upp varningar om en uppsättning paket i npm-registret tidigare i veckan.
Under några dagar ökade antalet paket från cirka 50 paket till mer än 200 (per den 21 mars).
Forskarna analyserade manuellt paketen och fann att det var en riktad attack mot @azure npm scope.
JFrog säger att angriparen använde ett automatiskt skript för att skapa konton och ladda upp skadliga paket som täcker hela @azure-omfånget. Företaget säger att paket från följande omfattningar också var inriktade på – @azure-rest, @azure-tests, @azure-tools och @cadl-lang.
Attacken använde “typosquatting” för att kopiera namnet på ett legitimt paket men med ett enkelt fel.
I det här fallet förlitade sig angriparen på att vissa utvecklare felaktigt utelämnade @azure-prefixet när de installerade ett paket. Kör till exempel ‘npm install core-tracing’ istället för ‘npm install @azure/core-tracingcontained’.
Med de legitima paketen nedladdade tiotals miljoner gånger per vecka, är det troligt att vissa utvecklare greps. Om de var det, skulle de ha blivit utsatta för personligt identifierbar information (PII) stjälare.
JFrog rapporterade sina resultat till npm-underhållarna och sa att de “snabbt” togs bort. JFrog gav stor beröm till underhållarna och sa att de tar säkerheten på största allvar, vilket “visades många gånger av deras handlingar, såsom förebyggande blockering av specifika paketnamn för att undvika framtida typosquatting och deras tvåfaktorsautentiseringskrav för populära paketunderhållare. ”
JFrog rekommenderar dock att en CAPTCHA-mekanism ska implementeras för att skapa användare för att förhindra att masskonton skapas. Företaget säger också att det finns ett behov av automatisk paketfiltrering som en del av en säker programvarukurering, baserad på antingen SAST- eller DAST-tekniker (“eller helst – båda”).
Azure-utvecklare bör kontrollera alla installerade paket som börjar med @azure-omfånget. JFrog säger att användare av dess röntgenlösning kommer att ha skyddats eftersom den lägger till alla verifierade resultat innan de offentliggörs.
(Foto av Possessed Photography på Unsplash)
Relaterad: “Protestware” dyker upp mitt i Ryssland-Ukraina-krisen
Vill du lära dig mer om cybersäkerhet från branschledare? Kolla in Cyber Security & Cloud Expo. Nästa evenemang i serien kommer att hållas i Santa Clara den 11-12 maj 2022, Amsterdam den 20-21 september 2022 och London den 1-2 december 2022.
Utforska andra kommande företagsteknologievenemang och webbseminarier som drivs av TechForge här.