in

Oltre 200 pacchetti NPM dannosi destinati agli sviluppatori di Azure

Sviluppatore Azure

È stato osservato un nuovo attacco alla catena di approvvigionamento su larga scala rivolto agli sviluppatori di Azure con un massimo di 218 pacchetti NPM dannosi con l’obiettivo di rubare dati personali.

“Dopo aver esaminato manualmente alcuni di questi pacchetti, si è rivelato essere un attacco mirato all’intero spazio @azure NPM, da parte di un utente malintenzionato che utilizzava uno script automatizzato per creare account e caricare pacchetti dannosi che coprivano l’intera gamma”, hanno affermato i ricercatori di JFrog Andrey Polkovnychenko e Shachar Menashe in un nuovo rapporto.

L’intero set di pacchetti dannosi è stato divulgato ai manutentori di NPM circa due giorni dopo il loro rilascio, portando alla loro rapida rimozione, ma non prima che ciascuno dei pacchetti fosse scaricato in media circa 50 volte.

Backup automatici di GitHub

L’attacco si riferisce a ciò che è noto come typosquatting, che si verifica quando gli aggressori inseriscono pacchetti ingannevoli con nomi che imitano librerie legittime in un registro software pubblico, come NPM o PyPI, nella speranza di indurre gli utenti a installarli.

In questo caso particolare osservato dalla società DevSecOps, si dice che l’autore dell’attacco abbia creato dozzine di controparti dannose con lo stesso nome dei pacchetti di ambito @azure esistenti ma senza il nome dell’ambito (ad es. @azure/core tracing vs. core tracking).

“L’attaccante si affida ad alcuni sviluppatori per omettere erroneamente il prefisso @azure durante l’installazione di un pacchetto”, hanno affermato i ricercatori. “Ad esempio, se si esegue accidentalmente npm install core-tracing invece di usare il comando corretto – npm install @azure/core-tracing.”

Non solo l’attacco utilizzava un nome utente univoco per caricare ogni singolo pacchetto nel repository per evitare di destare sospetti, ma le librerie contenenti malware contenevano anche numeri di versione elevati (ad es. 99.10.9), indicando un tentativo di eseguire un attacco di confusione delle dipendenze.

Prevenire le violazioni dei dati

Se uno sviluppatore installa uno di questi pacchetti inconsapevolmente, risulterà nell’esecuzione di un payload di ricognizione progettato per elencare le directory e raccogliere informazioni sulla directory di lavoro corrente dell’utente e gli indirizzi IP in relazione alle interfacce di rete e ai server DNS, il che è tutto su esfiltrato un server remoto hardcoded.

“A causa dell’aumento vertiginoso degli attacchi alla catena di approvvigionamento, in particolare tramite i repository dei pacchetti NPM e PyPI, sembra che dovrebbero essere aggiunte ulteriori ispezioni e mitigazioni”, hanno affermato i ricercatori.

“Ad esempio, l’aggiunta di un meccanismo CAPTCHA alla creazione di utenti npm non consentirebbe agli aggressori di creare semplicemente un numero qualsiasi di utenti da cui caricare pacchetti dannosi, semplificando l’identificazione degli attacchi”.

Martin Lewis avverte le famiglie di non utilizzare il trucco del contatore prepagato prima dell’aumento dei prezzi del 1 aprile

Kate Middleton irradia Eliza Doolittle in bianco dalla testa ai piedi