NPM paketi ta'minot zanjiri hujumida buzilishga uchradi
1
24
0
Tahdid taqlidchisi (ya'ni haker) mashhur NPM paketining “rand-user-agent” nomli uchta zararli talqinini chop etib, foydalanuvchi tizimlariga masofaviy kirish troyani (RAT) ni joylashtirish va faollashtirish maqsadida ishlatgan.
Endilikda foydalanishdan chiqarilgan (deprecated) “rand-user-agent” — Node.js paketi bo‘lib, u foydalanuvchi-agent (user-agent) satrlarini tasodifiy ravishda yaratish uchun mo‘ljallangan. Ushbu vosita dastlab Ruminiyadagi WebScrapingAPI dasturiy ta'minot kompaniyasi uchun vazifaviy vosita sifatida ishlab chiqilgan, biroq uni istalgan Node.js loyihasiga, xususan veb-qirqim ishlari uchun uyg'unlashtirish mumkin.
Mazkur paket hali ham haftasiga 40 000 martadan ortiq yuklab olinmoqda, biroq u so‘nggi yetti oydan buyon yangilanmagan. Tahdid taqlidchisi aynan shu holatdan foydalanib, zararli kod kiritilgan talqinlarni tarqatdi.
Loyihaning GitHubdagi reposi (jildi) o‘zgarishsiz qolgan bo‘lib, u hali ham so‘nggi "toza" talqin — 2.0.82 ni ko‘rsatmoqda. Ammo tahdid taqlidchisi zararli yangilanishlarni aynan NPM platformasiga joylashtirgan: 2.0.83, 1.0.110 va 2.0.84 talqinlarni. Bu haqda dastlab zararli kodni aniqlagan Aikido kompaniyasi xabar bermoqda.
Zararli paket talqinlari “Python3127 PATH Hijack” deb nomlangan "backdoor"ni ishga tushiradi. Bu vosita jildlar va fayllarni boshqarishi, qobiq (shell) buyruqlarini hamda qo‘shimcha zararli fayllarni ishga tushirishi mumkin.
“Ayniqsa bu RATning eng ohista ishlaydigan, ammo xavfli xususiyatlaridan biri — u Windowsga xos bo‘lgan PATH hijack usulidan foydalanadi. Bu orqali zararli dasturlar Python vositasi ko‘rinishida yashirincha ishga tushiriladi”, — deya ta’kidlaydi Aikido.
WebScrapingAPI kompaniyasi ma’lum qilishicha, tahdid taqlidchisi ikki bosqichli tasdiqlov bilan himoyalanmagan, eskirgan avtomatlashtirilgan tokenni qo‘lga kiritib, zararli paket talqinlarini nashr qilgan.
Mazkur token yordamida hujumchi GitHub reposida mavjud bo‘lmagan yangi talqinlarni yaratgan, ularning talqin raqamlarini oshirib, go‘yoki rasmiy yangilanishdek ko‘rsatgan hamda kodni eskirgan deb e’lon qilmasdan qoldirgan. “U yangi nashrlar hech kim sezmasidan oldin tarqalib ketishiga umid qilgan”, — deydi WebScrapingAPI.
“Kodlarimiz joylashgan manba reposida, yig'ish (build) jarayoni yoki korporativ tarmog‘imizda hech qanday buzilish (breach) aniqlanmadi. Hodisa faqat NPM bilan cheklangan,” — deya bayonot berdi kompaniya.
WebScrapingAPI, shuningdek, dasturchilar bilmagan holda zararli talqinlar orqali backdoor yuklab olganini va masofaviy boshqaruv va nazorat serveri (C&C) bilan aloqa kanalini ochganini ham tasdiqladi.
“Zararli kod GitHubdagi repomizda hech qachon bo‘lmagan; u faqat NPMga yuklangan unsurlar orqali tarqalgan. Bu an'anaviy ta’minot zanjiri (supply-chain) hujumi hisoblanadi,”
Rand-user-agent paketidan foydalanayotgan va quyidagi zararli talqinlardan birini o‘rnatgan foydalanuvchilarga (2.0.84, 1.0.110 va 2.0.83) imkon qadar tezroq 2.0.82 talqinga qaytish va tizimlarini zararli kod va buzilish belgilariga qarshi tekshirish tavsiya etiladi.
“Ushbu hodisadan ta’sir ko‘rgan har bir dasturchi va tashkilotdan chin dildan uzr so‘raymiz. Ochiq manbali ekotizimni himoya qilish — biz jiddiy qabul qiladigan mas’uliyatdir va ushbu hujumga imkon bergan barcha bo‘shliqlarni yopish jarayonida to‘liq ochiqlikni ta’minlashga sodiqmiz,” — dedi WebScrapingAPI.
