- Tijdens een gecoördineerde twee jaar durende campagne werden ruim 43.000 sluimerende spampakketten overspoeld door npm
- Sommige pakketten bevatten wormachtige scripts die automatisch nieuwe vermeldingen genereerden en publiceerden
- De aanvallers hebben mogelijk TEA-impactscores vervalst om beloningen te verdienen voor gedecentraliseerde ontwikkelaars
Volgens experts bestaat nu ongeveer 1% van het hele npm-ecosysteem uit valse, slapende pakketten die zijn geüpload als onderdeel van een jarenlange gerichte en potentieel kwaadaardige campagne.
De cyberbeveiligingsonderzoekers van Endor Labs ontdekten meer dan 43.000 spampakketten waarvan het uploaden bijna twee jaar in beslag nam. Dit gebeurde in een gecoördineerde inspanning waarvoor ten minste elf verschillende gebruikersaccounts nodig waren.
“Pakketten werden gedurende een lange periode systematisch gepubliceerd, waardoor het npm-register werd overspoeld met ongewenste pakketten die bijna twee jaar in het ecosysteem overleefden”, aldus de onderzoekers.
TEA-tokens verzamelen?
De onderzoekers noemden de campagne IndonesianFoods naar de naam van de pakketten. Het kwaadaardige script dat voor de naamgeving wordt gebruikt, bevat twee interne woordenboeken, één met Indonesische namen en de andere met Indonesische voedseltermen. Wanneer het script wordt uitgevoerd, selecteert het willekeurig twee termen, voegt een getal toe en voegt een achtervoegsel toe.
Het vreemde is dat de pakketten zelf niet kwaadaardig zijn. Ze zijn niet ontworpen om gevoelige ontwikkelaarsgegevens te stelen of als achterdeur te fungeren. In plaats daarvan zitten ze daar sluimerend downloads te verzamelen.
Sommige pakketten worden wekelijks duizenden keren gedownload, leggen de onderzoekers uit, wat suggereert dat dit de aanvaller een potentieel voordeel geeft: “Dit biedt de mogelijkheid voor aanvallers om in de toekomst een kwaadaardige commit uit te voeren die gevolgen zou hebben voor al die downloads.”
Sommige pakketten bevatten een wormachtig script dat, indien uitgevoerd, extra scripts zou genereren en creëren die vervolgens aan npm zouden worden toegevoegd.
Naast de potentiële schade denken onderzoekers dat dit ook onderdeel kan zijn van een financieel gemotiveerde campagne. Blijkbaar bevatten sommige pakketten tea.yaml-bestanden, waarin TEA-accounts werden vermeld. Tea is een gedecentraliseerd protocolframework waarin open source-ontwikkelaars worden gecompenseerd wanneer zij software bijdragen.
Dit zou kunnen betekenen dat de aanvallers probeerden hun impactscores te vervalsen, waardoor ze meer TEA-tokens verdienden.
Gaan Nieuws over hackers
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
