Gli attacchi della catena di alimentazione al software open source stanno sfuggendo di mano

sudo rm -rf --no-preserve-root /

-Non — Flag-root-root sono progettati per sovrascrivere, in particolare la protezione della sicurezza, che di solito può impedire la cancellazione della directory delle radici.

Il comando distruttivo equivalente a Windows includeva lo script PostInstall:

rm /s /q

Socket pubblicato a Rapporto separato Mercoledì più attacchi a catena di approvvigionamento, un utente NPM e un altro utenti target di PYPI. Fino a mercoledì, quattro pacchetti contaminati – pubblicati in tre NPM e il quarto in PYPI – hanno scaricato collettivamente più di 56.000 volte. La presa dice che sta funzionando per rimuoverli.

Quando installati, i pacchetti sono “Efficacia di sorveglianza integrata nell’ambiente degli sviluppatori segreti, consente un kilaggio, cattura dello schermo, impronte digitali, accesso alla webcam e furto di certificati”, ha scritto i ricercatori. Hanno aggiunto che il malware ha osservato e catturato le attività dell’utente e lo ha inviato all’infrastruttura controllata da invasore. La presa ha utilizzato il termine malware di sorveglianza per enfatizzare le tecniche di osservazione e esfilting di dati riservate nel contesto della “dipendenza dannosa.

Venerdì scorso, la presa Rapporto Il terzo attacco. Ha compromesso con un account nel NPM e ha utilizzato l’accesso al codice contaminato all’interno dei tre pacchetti disponibili sul sito. L’attacco è avvenuto dopo che gli aggressori hanno ricevuto con successo un token di un certificato, che è stato autenticato sul sito degli sviluppatori.

Gli aggressori hanno ottenuto i certificati attraverso la presa di attacco di phishing bersaglio Ore primaL’e -mail indica al destinatario di accedere con un URL su NPNJS.COM. Il sito è una bobina tipica del dominio ufficiale NPMJS.com. Al fine di rendere l’attacco più visibile, l’URL di phishing ha un campo di token che duplica il token NPM per l’autenticazione. Il phishing era in formato URL https://npnjs.com/login?token=xxxxxx Dove presentato il token XXXXXX.

Compromesso C’era un pacchetto NPM noto come “IS”. Ottiene circa 2,8 milioni di download al settimanale.

La possibilità di una perdita diffusa

Gli attacchi di approvvigionamento-disciplina come Socket li hanno segnalati probabilmente causano gravi danni. Molte persone a carico di pacchetto disponibili nello spazio di archiviazione, il che significa che la dipendenza da tali pacchetti dovrebbe essere inclusa nei pacchetti di flusso verso il basso. In molti flussi di sviluppatori, le nuove versioni di dipendenza vengono scaricate e incluse automaticamente nei pacchetti a valle.

Le bandiere dei tre attacchi sono i pacchetti:

• @Toptal/picasso-tailwind
• @Toptal/Picasso-Charts
• @Poptal/Picasso Divide
• @Toptal/picasso sacrificio
• @Poptal/Picasso-elections
• @Toptal/picasso-coat
• @Toptal/Picasso-Forms
• @xene/core
• @Toptal/picasso-uitis
• @Toptal/picasso-tipeografiaIL
• Versione 3.3.1, 5.0.0
• GOT-FECH versione 5.1.11, 5.1.12
• Eslint-Config-Punteier, versioni 8.10.1, 9.1.1, 10.1.6 e 10.1.7
• ESlint-Plaggin-Pritier, le versioni sono 4.2.2 e 4.2.3
• Synchit, versione 0.11.9
• @Pkgr/core, versione 0.2.8
• Nepi-Postinstell, versione 0.3.1

Gli sviluppatori che lavorano con un pacchetto target dovrebbero garantire che eventuali versioni contaminate non siano state installate o collegate alle loro cose. Gli sviluppatori dovrebbero lavorare con il pacchetto open source:

• Monitorare le modifiche alla visibilità di archiviazione alla ricerca di manifestazioni sospette o insolite dei pacchetti
• Review Package.son Script Lifesike prima di installare la dipendenza
• Utilizzare l’integrazione automatica e la scansione della protezione automatica su oleodotti durante la consegna continua
• Ruota il token di autenticazione regolare
• Utilizzare l’autenticazione multifattore per account di archiviazione protetti

Inoltre, i repositi che non producono MFA sono obbligatori dovrebbero essere fatti nel prossimo futuro.