- Meer dan 43.000 sluimerende spampakketten overspoelden npm in een gecoördineerde tweejarige campagne
- Sommige pakketten bevatten wormachtige scripts die automatisch nieuwe records genereerden en publiceerden
- Aanvallers hebben mogelijk de TEA-impactscores vervalst om gedecentraliseerde ontwikkelaarsbeloningen te verdienen
Ongeveer 1% van het hele npm-ecosysteem bestaat nu uit valse, slapende pakketten die zijn geüpload als onderdeel van een jarenlange gerichte – en potentieel kwaadaardige – campagne, beweren experts.
Cybersecurity-onderzoekers Endor Labs ontdekten meer dan 43.000 spampakketten waarvan het uploaden bijna twee jaar in beslag nam. Dit gebeurde in een gecoördineerde inspanning waarbij ten minste elf verschillende gebruikersaccounts nodig waren om het op te halen.
“De pakketten werden systematisch vrijgegeven gedurende een lange periode en overspoelden het npm-register met ongewenste pakketten die bijna twee jaar in het ecosysteem overleefden”, aldus de onderzoekers.
TEA-tokenoogst?
De onderzoekers noemden de campagne IndonesianFoods vanwege de naamgeving van de verpakkingen. Het kwaadaardige script dat voor de naamgeving wordt gebruikt, bevat twee interne woordenboeken, een met Indonesische namen en een andere met Indonesische voedseltermen. Wanneer het script wordt uitgevoerd, kiest het willekeurig twee uitdrukkingen, voegt een getal toe en voegt een achtervoegsel toe.
Het vreemde is dat de pakketten zelf niet kwaadaardig zijn. Ze zijn niet ontworpen om gevoelige ontwikkelaarsgegevens te stelen of om als achterdeur te fungeren. In plaats daarvan liggen ze gewoon stil en verzamelen ze downloads.
Sommige pakketten worden wekelijks duizenden keren gedownload, leggen de onderzoekers uit, wat suggereert dat dit de aanvaller een potentieel voordeel geeft: “Hierdoor kunnen de aanvallers in de toekomst een kwaadaardige commit uitvoeren die al deze downloads zou beïnvloeden.”
Sommige pakketten bevatten een wormachtig script dat, als het werd uitgevoerd, extra scripts zou genereren en creëren die vervolgens aan npm zouden worden toegevoegd.
Naast kwaadaardig potentieel denken de onderzoekers ook dat dit onderdeel kan zijn van een financieel gemotiveerde campagne. Blijkbaar bevatten sommige pakketten tea.yaml-bestanden met TEA-accounts. Tea is een gedecentraliseerd raamwerkprotocol waarbij open source-ontwikkelaars worden beloond wanneer ze software bijdragen.
Dit zou kunnen betekenen dat de aanvallers probeerden hun impactscore te vervalsen en zo meer TEA-tokens te verdienen.
Via Hackernieuws
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
