تم اختطاف مكتبات JavaScript الشهيرة هذا الأسبوع وتحولت إلى قطار برامج ضارة ، في هجوم سلسلة التوريد التي تم تحقيقها من خلال التصيد والسرقة المستهدفة.
حزمة NPM”https://www.npmjs.com/package/eslint-config-prettier” الهدف=”_blank” rel=”nofollow noopener”> Eslint-Config-Prettier، تم تنزيله أكثر من 30 مليون مرة أسبوعيًا ، تم اختراقه بعد أن وقع المشرف ضحية لهجوم تصيد. حزم أخرى ، وهي”https://www.npmjs.com/package/eslint-plugin-prettier?activeTab=versions” الهدف=”_blank” rel=”nofollow noopener”> Eslint-Plugin-Prettierو”https://www.npmjs.com/package/synckit?activeTab=versions” الهدف=”_blank” rel=”nofollow noopener”> synckitو”https://www.npmjs.com/package/@pkgr/core?activeTab=versions” الهدف=”_blank” rel=”nofollow noopener”>@PKGR/CORE، و”https://www.npmjs.com/package/napi-postinstall?activeTab=versions” الهدف=”_blank” rel=”nofollow noopener”> Napi-Postinstallمن نفس المشرف ، تم استهدافها أيضًا.
استخدم المهاجم (S) بيانات الاعتماد المسروقة لنشر إصدارات متعددة غير مصرح بها من الحزم مع التعليمات البرمجية الضارة لإصابة آلات Windows.
الفخار ، المكتبات تعرضت للخطر
في 18 يوليو ، بدأ المطورون يلاحظون سلوكًا غير عادي بعد تثبيت الإصدارات 8.10.1 و 9.1.1 و 10.1.6 و 10.1.7 من Eslint-Config-Prettier. نُشرت هذه الإصدارات إلى سجل NPM ولكن لم يكن لديها أي تغييرات مماثلة في مستودع GitHub الذي كان يؤكد الإصدارات ، مما يثير الشكوك الفورية داخل مجتمع المصدر المفتوح.
تسهل مكتبات مثل ESLINT-CONFIG-PRETTIER و ESLINT-PLUGIN-PRETTIER من السهل على المطورين العمل مع أجمل وأعلى من خلال ضمان أن تكون قواعد تنسيق الكود مصممة بشكل متكبر عبر المشروع دون تعارضات أو ربط بربط.
قام المطور Dasa Paddock برفع Github في البداية”http://github.com/prettier/eslint-config-prettier/issues/339″ الهدف=”_blank” rel=”nofollow noopener”> القضية في مستودع المشروع ، ألقي مستودع الضوء على الأمر ، وسرعان ما يتناغم أفراد المجتمع.
بعد ذلك بوقت قصير ، لمروعة الحزمة ، Jounqin ،”https://github.com/prettier/eslint-config-prettier/issues/339#issuecomment-3090304490″ الهدف=”_blank” rel=”nofollow noopener”> أكدأنه وقع ضحية لهجوم تصيد. سمح ذلك لطرف غير مصرح به للوصول إلى رمز NPM الخاص به ونشر الإصدارات المخترقة.
“It’s this phishing email,” كتب Jounqin ، مشاركة لقطة شاشة مقنعة “Verify your account” البريد الإلكتروني الذي تلقاه:
تم تخفيف البريد الإلكتروني ليبدو أنه ينشأ من “support@npmjs.com,” لكن الرابط الموجود فيه يقود المستخدم إلى غير المشروعNPNJS[.]كوماِختِصاص.
“I’ve deleted that npm token and will publish a new version ASAP,” صرحت جونيكين.
“Thanks all, and sorry for my negligence,” واصلت كتابة المشرف في نفس الموضوع.
برنامج PostInstall Script يدير Windows DLL
في الإصدارات الضارة ، NPMpostinstallالسيناريو “install.js” تم تكوينه لتشغيله بمجرد تثبيت الحزمة.
هذا “install.js” يحتوي على وظيفة مشبوهةlogdiskspace ()، والتي ، على عكس اسمها لا يهتم بمراقبة مساحة القرص. بدلاً من ذلك ، تحاول الوظيفة تنفيذ DLL “node-gyp.dll” مجمعة داخل الحزمة ، عبر عملية نظام Windows RunDLL32.
في وقت كتابة هذا التقرير ، فإن DLL ، طروادة معترف بها ، لديها”https://www.virustotal.com/gui/file/c68e42f416f482d43653f36cd14384270b54b68d6496a8e34ce887687de5b441″ الهدف=”_blank” rel=”nofollow noopener”> درجة اكتشاف 19/72 على virustotal ، مما يعني أنه لا يزال يفوتكها غالبية محركات مكافحة الفيروسات.
ماذا يجب أن تفعل؟
- “3411” بيانات البيانات=”3325″>”3411″ بيانات البيانات=”3327″>”3410″ بيانات البيانات=”3327″> لا تقم بتثبيت الإصدارات التالية من الحزم المتأثرة:
- “3411” بيانات البيانات=”3327″>”3410″ بيانات البيانات=”3327″>”3365″ بيانات البيانات=”3341″> Eslint-Config-Prettier الإصدارات 8.10.1 و 9.1.1 و 10.1.6 و 10.1.7.
- “3411” بيانات البيانات=”3327″>
eslint-plugin-prettierالإصدارات4.2.2 و 4.2.3. - “3411” بيانات البيانات=”3327″>
synckitإصدار 0.11.9 - “3411” بيانات البيانات=”3327″>
@pkgr/coreإصدار 0.2.8 - “3411” بيانات البيانات=”3327″>
napi-postinstallإصدار 0.3.1 - “3500” بيانات البيانات=”3414″> تحقق من الخاص بك”3445″ بيانات البيانات=”3426″> package-lock.json أو”3460″ بيانات البيانات=”3449″> الغزل ملفات للإشارات إلى هذه الإصدارات.
- “3638” بيانات البيانات=”3503″> إذا قمت بنشر عمليات الإنشاء بعد 18 يوليو ، تحقق من سجلات CI وبيئات وقت التشغيل للحصول على علامات التسوية ، وخاصة على أجهزة Windows.
- “3730” بيانات البيانات=”3641″> النظر في تدوير أي أسرار قد تكون قد تعرضت أثناء عمليات البناء المتأثرة.
تميز المشرف بالإصدارات المتأثرة مثل “deprecated” على سجل NPMJS. بالإضافة إلى ذلك ، أ”https://github.com/prettier/eslint-config-prettier/issues/339#issuecomment-3090311066″ الهدف=”_blank” rel=”nofollow noopener”> حذر مستخدم جيثبأن يتم أيضًا فحص أي حزم أخرى نشرها المشرف للحصول على علامات العبث المحتملة.
الحل الوسط يتبع سلسلة من هجمات الهندسة الاجتماعية المماثلة التي استهدفت مطوري المكتبات الشعبية في الآونة الأخيرة.
في مارس ،”https://www.bleepingcomputer.com/news/security/infostealer-campaign-compromises-10-npm-packages-targets-devs/” الهدف=”_blank” rel=”nofollow noopener”> أكثر من عشر مكتبات NPM المستخدمة على نطاق واسع تم اختراقها وتحولت إلى سرقة المعلومات. الشهر الماضي ،”https://www.bleepingcomputer.com/news/security/supply-chain-attack-hits-gluestack-npm-packages-with-960k-weekly-downloads/” الهدف=”_blank” rel=”nofollow noopener”> 17 حزم Gluestack مع اختطاف أكثر من مليون تنزيل أسبوعي لنشر طروادة وصول عن بُعد (RAT).
نظرًا لأن النظام الإيكولوجي مفتوح المصدر يعمل إلى حد كبير على الثقة ، فإن حوادث مثل هذه تؤكد هشاشة أمان سلسلة التوريد وأهمية أمن المشرف. نقرة خاطئة واحدة كافية لوضع ملايين المستخدمين للخطر.
تحديث ، 19-JUL-2015 12:42 PM ET: أسماء إضافية من الحزم الإضافية المتأثرة.
تستخدم CISOs تقرير مجلس الإدارة بالفعل
تعرف CISOs أن الحصول على مشاركة في مجال اللوح يبدأ برؤية استراتيجية واضحة لكيفية قيام الأمان السحابي بتوجيه قيمة العمل.
يساعد سطح مجلس الإدارة المجاني القابل للتحرير قادة الأمن على تقديم المخاطر والتأثير والأولويات من حيث الأعمال الواضحة. تحويل تحديثات الأمن إلى محادثات ذات معنى وصنع القرار بشكل أسرع في قاعة الاجتماعات.