Исследователи обнаружили фабрику вредоносных пакетов npm

Компания Checkmarx обнаружила угрозу, связанную со злоумышленником RED-LILI. Который отличается тем, что создает и поставляет сотни вредоносных пакетов в экосистему NPM в автоматическом режиме. Это вызывает серьезные опасения в контексте атак на цепочки зависимостей, особенно на фоне недавних случаев саботажа отдельных разработчиков.

Исследователи обнаружили фабрику вредоносных пакетов npm
Исследователи обнаружили фабрику вредоносных пакетов npm

По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учетной записи NPM для проведения труднообнаруживаемых атак «путаницы зависимостей».

Как правило, злоумышленники используют анонимную, одноразовую учетную запись NPM для проведения атак. В этой ситуации злоумышленник полностью автоматизировал процесс создания. Он создает специальные учетные записи для каждого пакета с вредоносным соединением.

Преступник все еще активен и продолжает доставлять вредоносные пакеты. На данный момент исследователи обнаружили и отследили около 800 пакетов. Большинство  имели уникальную учетную запись пользователя для каждого пакета, созданного за неделю.

Имена пакетов были методично отобраны, а имена пользователей, разместивших их, представляли собой случайно сгенерированные строки, включая имена 5t7crz72 и d4ugwerp.

Все указывает на то, что злоумышленник разработал сквозной процесс автоматизации, включая регистрацию пользователей и маршрутизацию вызовов OTP. А также скрыл вредоносные пакеты NPM.

Если до этого инцидента были случаи полуавтоматической публикации вредоносных полезных нагрузок, то RED-LILI организовал это полностью автоматически. А это в свою очередь значительно увеличило вероятность заражения. И это знаменует собой новую тенденцию в ландшафте угроз в экосистеме NPM. Негативные процессы, несомненно, будут продолжаться.

Перейти к статье:  Мессенджер WhatsApp позволяет пользователям создавать опросы в групповых чатах
Добавить комментарий