- Meer dan 43.000 sluimerende spampakketten overspoelden npm in een gecoördineerde tweejarige campagne
- Sommige pakketten bevatten wormachtige scripts die automatisch nieuwe vermeldingen genereren en publiceren
- Aanvallers hebben mogelijk TEA-impactscores vervalst om gedecentraliseerde ontwikkelaarsbeloningen te verdienen
Ongeveer 1% van het hele npm-ecosysteem bestaat nu uit valse, slapende pakketten die zijn geüpload als onderdeel van een jarenlange gerichte – en potentieel kwaadaardige – campagne, beweren experts.
Cybersecurity-onderzoekers Endor Labs ontdekten meer dan 43.000 spampakketten waarvan het uploaden bijna twee jaar in beslag nam. Dit gebeurde in een gecoördineerde inspanning waarbij ten minste elf verschillende gebruikersaccounts nodig waren.
“De pakketten werden systematisch gedurende een langere periode gepubliceerd, waardoor het npm-register werd overspoeld met ongewenste pakketten die bijna twee jaar in het ecosysteem overleefden”, aldus de onderzoekers.
TEA-token oogsten?
De onderzoekers noemden de campagne IndonesianFoods vanwege de naamgeving van de verpakkingen. Het kwaadaardige script dat voor de naamgeving wordt gebruikt, bevat twee interne woordenboeken, één met Indonesische namen en één met Indonesische voedseltermen. Wanneer het script wordt uitgevoerd, selecteert het willekeurig twee termen, voegt een getal toe en voegt een achtervoegsel toe.
Het vreemde is dat de pakketten zelf niet kwaadaardig zijn. Ze zijn niet ontworpen om gevoelige ontwikkelaarsgegevens te stelen of om als achterdeur te fungeren. In plaats daarvan liggen ze daar gewoon, sluimerend, downloads te verzamelen.
Sommige pakketten worden wekelijks duizenden keren gedownload, leggen de onderzoekers uit, wat erop duidt dat het de aanvaller een potentiële voorsprong geeft: “Dit biedt de aanvallers de mogelijkheid om in de toekomst een kwaadaardige commit uit te voeren die al die downloads zou beïnvloeden.”
Sommige pakketten bevatten een wormachtig script dat, als het werd uitgevoerd, extra scripts zou genereren en creëren die vervolgens aan npm zouden worden toegevoegd.
Naast kwaadaardig potentieel denken de onderzoekers ook dat dit onderdeel kan zijn van een financieel gemotiveerde campagne. Blijkbaar bevatten sommige pakketten tea.yaml-bestanden met een lijst van TEA-accounts. Tea is een gedecentraliseerd raamwerkprotocol waarin open source-ontwikkelaars worden beloond als ze software bijdragen.
Dit zou kunnen betekenen dat de aanvallers probeerden hun impactscores te vervalsen, waardoor ze meer TEA-tokens verdienden.
Via Het hackernieuws
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
