- Pachete npm malițioase atribuite Coreei de Nord se dau drept polyfill-uri Rollup și fură acces la distanță și date sensibile.
Dezvoltatorii care folosesc pachete npm sunt din nou în vizorul atacatorilor. Cercetătorii de la JFrog au descoperit două pachete malițioase, rollup-packages-polyfill-core și rollup-runtime-polyfill-core, care imită un proiect legitim de polyfill pentru Rollup. Acestea sunt atribuite unor actori susținuți de Coreea de Nord și vizează furtul de secrete și accesarea la distanță a sistemelor victimelor.
Ce s-a descoperit
Pachetele false copiază descrierea, metadatele repository-ului și numele proiectului rollup-plugin-polyfill-node pentru a părea autentice. Odată instalate, ele oferă atacatorilor acces la distanță și capacitatea de a fura date sensibile, inclusiv chei API, token-uri de acces și informații de configurare. JFrog a raportat că aceste pachete fac parte dintr-o campanie mai amplă de atacuri asupra lanțului de aprovizionare software, vizând în special dezvoltatorii care folosesc ecosistemul Node.js.
Cum funcționează atacul
Pachetele malițioase includ cod care se execută automat la instalare (prin scripturile postinstall). Acest cod stabilește o conexiune cu un server de comandă și control (C2) controlat de atacatori. Odată conectat, atacatorii pot executa comenzi, extrage fișiere și monitoriza activitatea dezvoltatorului. Tehnicile de evaziune includ ascunderea traficului în cereri HTTP normale și utilizarea unor domenii care imit servicii legitime.
Campania este atribuită grupării Lazarus sau unor subgrupuri asociate cu Coreea de Nord, cunoscute pentru atacuri sofisticate asupra sectorului criptomonedelor și al dezvoltatorilor de software. Utilizarea polyfill-urilor false este o metodă nouă de a păcăli dezvoltatorii, deoarece polyfill-urile sunt frecvent folosite în proiecte pentru suport cross-browser.
Implicații pentru securitatea lanțului de aprovizionare
Atacul subliniază riscurile utilizării pachetelor din registre publice fără verificare. Deși npm are mecanisme de securitate, cum ar fi scanarea automată și auditarea dependențelor, pachetele malițioase pot trece neobservate dacă imită proiecte populare. Dezvoltatorii trebuie să fie atenți la nume de pachete ușor modificate și să verifice autorul, numărul de descărcări și istoricul publicării.
Ce inseamnă pentru tine
Dacă ești dezvoltator și folosești npm, iată câteva măsuri practice:
- Verifică pachetele înainte de instalare: Caută pachete cu nume suspecte, autor neverificat sau descărcări puține. Folosește instrumente de audit npm sau soluții de securitate integrate.
- Monitorizează dependențele: Actualizează periodic și rulează comenzi de securitate (
npm audit). Fii atent la orice comportament neobișnuit al scripturilor postinstall. - Izolează mediile de dezvoltare: Rulează proiectele în containere sau mașini virtuale pentru a limita impactul unui pachet malițios.
Pentru mai multe detalii, consultați raportul complet JFrog sau urmăriți actualizările de securitate npm.