Znaleziono trzy pakiety npm otwierające powłoki w systemach Linux i Windows

Każdy komputer, na którym są zainstalowane lub uruchomione te pakiety, został zainfekowany.

Trzy pakiety JavaScript zostały usunięte z portalu npm w czwartek, ponieważ zawierały złośliwy kod.

Zgodnie z zaleceniami zespołu bezpieczeństwa npm trzy biblioteki JavaScript otworzyły powłoki na komputerach programistów, którzy zaimportowali pakiety do swoich projektów.

Powłoki, termin techniczny używany przez badaczy cyberbezpieczeństwa, umożliwiły podmiotom będącym zagrożeniem zdalne łączenie się z zainfekowanym komputerem i wykonywanie złośliwych operacji.

Zespół bezpieczeństwa npm powiedział, że powłoki mogą działać zarówno w systemach operacyjnych Windows, jak i * nix, takich jak Linux, FreeBSD, OpenBSD i inne.

Wszystkie trzy pakiety zostały przesłane na portal npm w maju (pierwszy) i wrześniu 2018 (ostatnie dwa). Każdy pakiet miał setki pobrań od czasu umieszczenia go w portalu npm. Nazwy pakietów to:

  • plutov-slack-client
  • nodetest199
  • nodetest1010

Każdy komputer, na którym jest zainstalowany lub uruchomiony ten pakiet, należy uznać za w pełni zagrożony. Wszystkie sekrety i klucze przechowywane na tym komputerze należy natychmiast wykonać rotację z innego komputera.

Pakiet powinien zostać usunięty, ale ponieważ pełną kontrolę nad komputerem mógł przejąć podmiot zewnętrzny, nie ma gwarancji, że usunięcie pakietu spowoduje usunięcie całego złośliwego oprogramowania powstającego w wyniku jego instalacji.

Pracownicy bezpieczeństwa Npm regularnie skanują swoją kolekcję bibliotek JavaScript, uważanych za największe repozytorium pakietów dla dowolnego języka programowania.

Chociaż szkodliwe pakiety są regularnie usuwane, egzekwowanie tego w tym tygodniu jest trzecim głównym rozprawą w ciągu ostatnich trzech miesięcy.

W sierpniu pracownicy npm usunęli złośliwą bibliotekę JavaScript zaprojektowaną do kradzieży poufnych plików z przeglądarki zainfekowanych użytkowników i aplikacji Discord.

We wrześniu pracownicy npm usunęli cztery biblioteki JavaScript służące do zbierania danych użytkownika i przesyłania skradzionych danych na publiczną stronę GitHub.

Źródła: