حمله زنجیره تأمین نرم‌افزار هزاران برنامه با پکیج‌های مخرب npm

اخبار داغ فناوری اطلاعات و امنیت شبکه

 takian.ir malicious npm packages

محققان امنیتی یک حمله جدید و مهم زنجیره تأمین نرم‌افزاری را کشف کرده‌اند که بر هزاران برنامه کاربردی و وب سایت‌های مرتبط با استفاده از پکیج‌های مخرب npm تأثیر می‌گذارد.

مجموعه ReversingLabs بیش از دویست ماژول npm را پیدا کرده که قدمت آن به شش ماه قبل می‌رسد. آن‌ها حاوی جاوا اسکریپت مبهمی بودند که برای سرقت form data از برنامه‌هایی که در آن‌ها مستقر شده، طراحی شده بود.

به نظر می‌رسد مهاجمان از تکنیک‌های typosquatting برای فریب توسعه‌دهندگان برای دانلود پکیج‌های مخرب خود استفاده کرده‌اند.

آن‌ها اقدام به جعل ماژول‌های npm پرترافیک مانند «umbrellajs»، با تغییر نام به «umbrellaks» و پکیج‌های منتشر شده توسط ionic.io، کرده‌اند.

مجموعه ReversingLabs نوشت: «پکیج‌های ایجاد شده توسط نویسنده npm ionic-io… نشان می‌دهد که نویسنده ۱۸ نسخه از یک پکیج npm به نام «icon-package» را منتشر کرده است که حاوی کد سرقت فرم مخرب است. »

"این تلاشی آشکار برای گمراه کردن توسعه‌دهندگان به استفاده از این پکیج‌ها به جای "ionicon" بوده، که یک منبع محبوب و متن‌باز با مجموعه‌ای بیش از ۱۰۰۰ آیکون برای برنامه‌های وب، iOS، اندروید و دسکتاپ می‌باشد.

همه پکیج‌ها برای جمع‌آوری داده‌های فرم با استفاده از توابع jQuery Ajax طراحی شده‌اند و سپس آن داده‌ها را به دامنین‌هایی که توسط عوامل تهدید کنترل می‌شوند، استخراج می‌کنند.

گستره کامل این کمپین هنوز فاش نشده است، اما در حال حاضر چالش‌های سیستمی پیش روی توسعه‌دهندگانی را که از مؤلفه‌های متن‌باز برای سرعت بخشیدن به زمان ورود به بازار استفاده می‌کنند، برجسته می‌کند.

واضح است که سازمان‌های توسعه نرم‌افزار و همچنین مشتریان آن‌ها به ابزار‌ها و فرآیند‌های جدیدی برای ارزیابی ریسک‌های زنجیره تأمین نیاز دارند، مانند مواردی که این پکیج‌های مخرب npm ایجاد می‌کنند. ReversingLabs اینگونه استدلال می‌کند که ماهیت غیرمتمرکز و ماژولار توسعه برنامه به این معنی است که برنامه‌ها و سرویس‌ها تنها به اندازه مؤلفه‌های کم‌ایمن خود، قوی هستند.

موفقیت این حمله (با بیش از دویست ماژول مخرب در دسترس برای دانلود در یک ریپوزیتوری پکیج محبوب، و یکی از آن‌ها با ۱۷۰۰۰ دانلود در عرض چند هفته) بر ماهیت آزادانه توسعه برنامه‌ها و موانع کم مخرب یا حتی کد‌های آسیب‌پذیری که وارد برنامه‌های حساس و محیط‌های فناوری اطلاعات می‌شوند، تأکید می‌نماید. »

برچسب ها: JavaScript package manager, jQuery Ajax, ionicon, umbrellajs, typosquatting, form data, زنجیره تأمین, نرم‌افزار, Module, حمله زنجیره تأمین, Software, npm, ماژول, پکیج, Package, Supply chain, Supply Chain Attack, Javascript, iOS, Cyber Security, حملات سایبری, اندروید, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ