Ένα πακέτο αυτοδιάδοσης που δημοσιεύεται στο npm στέλνει ανεπιθύμητα μηνύματα στο μητρώο, δημιουργώντας νέα πακέτα κάθε επτά δευτερόλεπτα, δημιουργώντας μεγάλους όγκους σκουπιδιών.
Το σκουλήκι, που ονομάζεται «IndonesianFoods», λόγω του χαρακτηριστικού συστήματος ονοματοδοσίας πακέτων που επιλέγει τυχαία ονόματα και όρους τροφίμων στην Ινδονησία, έχει δημοσιεύσει περισσότερες από 100.000 συσκευασίες σύμφωνα με το Sonatype και ο αριθμός αυξάνεται με γεωμετρική πρόοδο.
Αν και τα πακέτα δεν διαθέτουν κακόβουλο στοιχείο για προγραμματιστές (π.χ. κλοπή δεδομένων, backdooring κεντρικών υπολογιστών), αυτό θα μπορούσε να αλλάξει με μια ενημέρωση που εισάγει ένα επικίνδυνο ωφέλιμο φορτίο.
Το επίπεδο αυτοματισμού και η μεγάλης κλίμακας φύση της επίθεσης δημιουργούν τη δυνατότητα για συμβιβασμό ευρείας αλυσίδας εφοδιασμού.
Ο ερευνητής ασφαλείας Paul McCarty, ο οποίος αναφέρθηκε για πρώτη φορά αυτή η καμπάνια ανεπιθύμητης αλληλογραφίας, δημιούργησε μια σελίδα για να παρακολουθείτε τους παραβάτες εκδότες npm και τον αριθμό των πακέτων που έχουν κυκλοφορήσει στην πλατφόρμα.
Sonatype εκθέσεις ότι οι ίδιοι ηθοποιοί έκαναν άλλη μια απόπειρα στις 10 Σεπτεμβρίου, με ένα πακέτο με το όνομα «fajar-donat9-breki». Αν και αυτό το πακέτο περιείχε την ίδια λογική αναπαραγωγής, απέτυχε να διαδοθεί.
«Αυτή η επίθεση έχει κατακλύσει πολλά συστήματα δεδομένων ασφαλείας, επιδεικνύοντας πρωτοφανή κλίμακα», είπε ο κύριος ερευνητής ασφάλειας της Sonatype, Γκάρετ Καλπούζος, στο BleepingComputer.
“Το Amazon Inspector επισημαίνει αυτά τα πακέτα μέσω συμβουλών OSV, προκαλώντας ένα τεράστιο κύμα αναφορών ευπάθειας. Μόνο η βάση δεδομένων της Sonatype είδε 72.000 νέες συμβουλές σε μία μόνο μέρα.”
Ο ερευνητής σχολίασε ότι η IndonesianFoods δεν φαίνεται να επικεντρώνεται σε διεισδυτικές μηχανές προγραμματιστών, αλλά μάλλον να αγχώνει το οικοσύστημα και να διαταράσσει τη μεγαλύτερη αλυσίδα εφοδιασμού λογισμικού στον κόσμο.
«Το κίνητρο είναι ασαφές, αλλά οι επιπτώσεις είναι εντυπωσιακές», σημείωσε ο Καλπούζος.
ΕΝΑ αναφορά από την Endor Labs στην καμπάνια IndonesianFoods αναφέρει ότι ορισμένα πακέτα φαίνεται να κάνουν κατάχρηση του Πρωτοκόλλου TEA, ενός συστήματος blockchain που ανταμείβει τις συνεισφορές OSS με μάρκες TEA, που περιέχουν τσάι.yaml αρχεία που περιέχουν λογαριασμούς TEA και διευθύνσεις πορτοφολιού.
Δημοσιεύοντας χιλιάδες διασυνδεδεμένα πακέτα, οι επιτιθέμενοι διόγκωσαν τις βαθμολογίες τους για να κερδίσουν περισσότερα μάρκες, υποδεικνύοντας ένα οικονομικό κίνητρο πίσω από την επίθεση.
Πηγή: Endor Labs
Επίσης, η Endor Labs αναφέρει ότι η καμπάνια ανεπιθύμητης αλληλογραφίας ξεκίνησε στην πραγματικότητα πριν από δύο χρόνια, με 43.000 πακέτα να προστέθηκαν το 2023, η δημιουργία εσόδων από TEA υλοποιήθηκε το 2024 και ο βρόχος αναπαραγωγής τύπου worm που εισήχθη το 2025.
Η καμπάνια IndonesianFoods έρχεται στο πλαίσιο πολλών παρόμοιων επιθέσεων εφοδιαστικής αλυσίδας που βασίζονται σε αυτοματισμούς σε οικοσυστήματα ανοιχτού κώδικα, συμπεριλαμβανομένης της επίθεσης GlassWorm στο OpenVSX, του ιού τύπου worm Shai-Hulud που χρησιμοποιεί διάδοση σύγχυσης εξαρτήσεων και των παραβιάσεων ευρέως χρησιμοποιούμενων πακέτων όπως η κιμωλία και ο εντοπισμός σφαλμάτων.
Μεμονωμένα, αυτά τα περιστατικά προκάλεσαν περιορισμένη ζημιά, αλλά υπογραμμίζουν μια νέα τάση στην οποία οι επιτιθέμενοι εκμεταλλεύονται όλο και περισσότερο την αυτοματοποίηση και την κλίμακα για να κατακλύσουν τα οικοσυστήματα ανοιχτού κώδικα.
Η Sonatype προειδοποίησε επίσης ότι αυτές οι απλές αλλά αποτελεσματικές λειτουργίες δημιουργούν ιδανικές συνθήκες για τους παράγοντες απειλών να διολισθήσουν πιο σοβαρό κακόβουλο λογισμικό σε οικοσυστήματα ανοιχτού κώδικα.
Καθώς η επίθεση συνεχίζει να εκτυλίσσεται, συνιστάται στους προγραμματιστές λογισμικού να κλειδώνουν τις εκδόσεις εξάρτησης, να παρακολουθούν για μη φυσιολογικά μοτίβα δημοσίευσης και να εφαρμόζουν αυστηρές πολιτικές επικύρωσης ψηφιακών υπογραφών.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
Related Posts
Το κακόβουλο λογισμικό GlassWorm που διαχέεται μόνος του επισκιάζει τα μητρώα OpenVSX, VS Code
Το κακόβουλο λογισμικό GlassWorm επιστρέφει στο OpenVSX με 3 νέες επεκτάσεις VSCode
Το Open VSX εναλλάσσει τα διακριτικά πρόσβασης που χρησιμοποιούνται στην επίθεση κακόβουλου λογισμικού στην αλυσίδα εφοδιασμού
