Hakeri su preplavili npm open source repozitorijum paketa za Node.js lažnim paketima koji su nakratko čak rezultovali napadom uskraćivanja usluge (DDoS).
“Hakeri kreiraju maliciozne web stranice i objavljuju prazne pakete s linkovima do tih malicioznih web stranica, koristeći prednost dobre reputacije ekosistema otvorenog koda na pretraživačima” rekao je Jossef Harush Kadouri iz Checkmarx-a u izvještaju objavljenom prošle sedmice.
“Napadi su izazvali uskraćivanje usluge (DDoS) koji je učinio NPM nestabilnim sa sporadičnim ‘Service Unavailable’ greškama.”
Dok su slične kampanje nedavno primijećene u širenju phishing linkova, najnoviji talas je pogurao broj verzija paketa na 1,42 miliona, što je dramatičan porast u odnosu na približno 800.000 paketa objavljenih na npm.
Tehnika napada koristi činjenicu da su repozitorijumi otvorenog koda bolje rangirani u rezultatima pretraživače za kreiranje lažnih web stranica i otpremanje praznih npm modula sa vezama do tih lokacija u README.md fajlovima.
“Budući da su ekosistemi otvorenog koda veoma ugledni na pretraživačima, svi novi paketi otvorenog koda i njihovi opisi nasljeđuju ovu dobru reputaciju i postaju dobro indeksirani na pretraživačima, čineći ih vidljivijim korisnicima koji ništa ne sumnjaju” objasnio je Harush Kadouri.
S obzirom da je cijeli proces automatizovan, opterećenje stvoreno objavljivanjem brojnih paketa dovelo je do toga da je NPM povremeno imao probleme sa stabilnošću krajem marta 2023. godine.
Checkmarx ističe da, iako iza aktivnosti može biti više hakera, krajnji cilj je zaraziti sistem žrtve malicioznim softverom kao što su RedLine Stealer, Glupteba, SmokeLoader i rudari kriptovaluta.
Druge veze vode korisnike kroz niz srednjih stranica koje u konačnici vode do legitimnih stranica za e-trgovinu kao što je AliExpress s identifikatorima preporuke, donoseći hakerima profit kada žrtva obavi kupovinu na platformi. Treća kategorija uključuje pozivanje ruskih korisnika da se pridruže Telegram kanalu koji je specijalizovan za kriptovalute.
“Borba protiv hakera koji truju naš ekosistem lanca nabave softvera i dalje je izazovna, jer se napadači stalno prilagođavaju i iznenađuju industriju novim i neočekivanim tehnikama” rekao je Harush Kadouri.
Kako bi spriječio takve automatizovane kampanje, Checmarx je preporučio npm-u da ugradi anti-bot tehnike tokom kreiranja korisničkog naloga.
Izvor: The Hacker News