TTL OSINT

Подозрительный сопровождающий раскрывает нити атаки на цепочку поставок npm

В статье обсуждается подозрительное изменение пакета npm, которое потенциально может быть использовано для атаки на цепочку поставок. Разработчик Docusaurus Себастьен Лорбер заметил предлагаемые изменения в манифесте популярного пакета cliui npm, в котором использовался незнакомый синтаксис для зависимостей npm. В предлагаемом изменении используется псевдонимирование пакетов, функция менеджера пакетов npm, которая позволяет определять пользовательские правила разрешения для пакетов. Это потенциально может быть использовано для обмана реестра npm и искажения информации о зависимостях. Однако в данном случае предлагаемое изменение было внесено, и риска атаки на цепочку поставок не было. Себастьян также обнаружил подозрительное поведение в файлах блокировки npm, в частности, в отношении вредоносных модулей. Когда он изучил запрос на извлечение, он запустил инструмент под названием lockfile-lint, который показывал предупреждения для пакетов с разными именами, но одинаковым содержимым. Он обнаружил, что эти пакеты принадлежат himanshutester002 и были опубликованы в прошлом году с номерами программных версий. Пакеты не были привязаны к какому-либо общедоступному хранилищу исходного кода, и личность автора была анонимной.Однако некоторые из пакетов содержали признаки, которые вызывали опасения. Например, в пакете strip-ansi-cjs было более 500 других пакетов, которые использовали его, что может быть положительным показателем популярности. Но когда Себастьян просмотрел код для strip-dance-cos, он обнаружил, что в нем не содержится многих реальных кодов. Личность автора также была анонимной и не была связана с какой-либо личной или идентифицирующей информацией.В заключение в статье обсуждается подозрительное изменение пакета npm и потенциальные риски, связанные с этим. Важно проявлять бдительность и следить за тем, чтобы пакеты не были подделаны, а личность автора была подтверждена.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://snyk.io/blog/threads-of-npm-supply-chain-attack/

Выборочные показатели Compromise:

• https://github.com/typestack/class-transformer
• https://github.com/hasandader/react-native-multiply

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал