Istraživači sajber bezbjednosti upozoravaju da je haker objavio desetine hiljada malicioznih NPM paketa koji sadrže crv koji se sam umnožava.
Za razliku od nedavnih supply-chain napada na NPM, kod korišćen u ovoj kampanji ne krade kredencijale ili podatke, već zloupotrebljava ekosistem za spam.
SourceCodeRed, koji ovu malicioznu kampanju naziva „IndonesianFoods worm“, identifikovao je preko 43.900 malicioznih NPM paketa povezanih sa 11 naloga, a svi su imenovani po šemi koja uključuje indonežanska imena i vrste hrane.
Maliciozni kod je dizajniran da generiše nasumična imena, mijenja package.json fajlove kako bi paketi postali javni, dodaje nasumične verzije i objavljuje ih na NPM registru.
Prema SourceCodeRed izvještaju, kod ponavlja iste korake u beskonačnoj petlji, objavljujući novi paket svakih sedam sekundi, konstantno zatrpavajući NPM registar.
„Ovo preplavljuje NPM registar beskorisnim paketima, troši resurse infrastrukture, zagađuje rezultate pretrage i stvara supply-chain rizike ako developeri slučajno instaliraju ovakve pakete. Malver se maskira u legitimnu Next.js aplikaciju kako bi izbjegao detekciju“, navodi SourceCodeRed.
Ovu aktivnost primijetio je i JFrog, koji je identifikovao preko 80.000 paketa koji se sami umnožavaju imenovanih koristeći sličnu šemu nasumičnog generisanja imena. Pored liste riječi koja uključuje imena i vrste hrane, rječnik obuhvata i prideve, boje i nazive životinja.
Prema JFrog-u, koji kampanju naziva Big Red, malver ponovo koristi sačuvane NPM kredencijale žrtve da bi brzo objavljivao nove generisane pakete u registar.
„Rezultat je zbijena, potpuno automatizovana petlja koja može da preplavi NPM ekosistem ogromnim brojem paketa koji naizgled djeluju legitimno, a koji potiču iz istog koda i razlikuju se samo po nasumičnim metapodacima“, navodi JFrog.
Ovih 80.000 malicioznih paketa objavljeno je preko 18 korisničkih naloga i sadrži isključivo logiku umnožavanja i objavljivanja.
Tačna svrha kampanje i dalje nije poznata, ali JFrog pretpostavlja da bi mogla biti „proba za buduću kampanju u kojoj bi ista infrastruktura i šema imenovanja mogle biti ponovo iskorišćene za isporuku stvarno malicioznih payload-a kroz kod koji se sam umnožava“.
Izvor: SecurityWeek