Stručnjaci za bezbjednost pozvali su npm registar da implementira antibot tehnologiju nakon što su otkrili da je spremište otvorenog koda pretrpilo povremene prekide uskraćivanja usluge (DoS) tokom prošlog mjeseca.
Npm je samoproglašen kao najveći softverski registar na svijetu, koji sadrži preko dva miliona JavaScript paketa za preuzimanje.
Iako je u prošlosti bio pogođen spam kampanjama, protekle četiri sedmice bile su svjedok “daleko najgore koju smo do sada vidjeli” prema Checkmarx-ovom šefu za bezbjednost lanca nabavke softvera, Josefu Harush Kadouri.
“Očigledno, napadači su otkrili neprovjereni ekosistem otvorenog koda kao laku metu za izvođenje SEO trovanja za razne maliciozne kampanje. Sve dok ime nije zauzeto, oni mogu objaviti neograničen broj paketa” objasnio je juče na blogu.
“Uobičajeno, broj verzija paketa objavljenih na npm-u je otprilike 800.000. Međutim, u proteklih mjesec dana ta brojka je premašila 1,4 miliona.”
Mnogi od njih su “prazni” paketi čija je jedina svrha povezivanje sa malicioznim web stranicama koje je za tu svrhu kreirao haker, rekao je Kadouri.
Kako registri otvorenog koda poput npm-a imaju dobru reputaciju na pretraživačima, svi novi paketi se postavljaju na vrh indeksa, što ih čini vidljivijim korisnicima, dodao je.
“Nezaustavljivo opterećenje koje stvaraju te automatizovane skripte učinilo je npm nestabilnim sa sporadičnim greškama ‘Service Unavailable’. Mogu svjedočiti u protekloj sedmici to se dogodilo meni i mojim kolegama mnogo puta” tvrdi Kadouri.
“Mapirali smo nekoliko kampanja i vjerujemo da ih sve vjerovatno vodi isti haker, iako to u ovom trenutku ne možemo potvrditi.”
Kadouri je pozvao npm da koristi anti-bot tehnologiju u pokušaju da obuzda ove automatizovane kampanje, posebno u procesu registracije novih korisnika.
“Borba protiv hakera koji truju naš ekosistem lanca nabavke softvera i dalje je izazovna, jer se napadači stalno prilagođavaju i iznenađuju industriju novim i neočekivanim tehnikama” zaključio je.
Izvor: Infosecurity Magazine
