WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lợi dụng lỗi NPM để phát tán mã độc dưới dạng các gói hợp pháp
Một "lỗ hổng logic" đã được tiết lộ trong NPM, trình quản lý gói mặc định cho JavaScript của Node.js, cho phép kẻ xấu chuyển thư viện giả mạo để lừa các nhà phát triển cài đặt chúng. Sau khi được công bố, lỗi đã được NPM khắc phục vào ngày 26/04/2022.
“Cho đến gần đây, NPM đã cho phép thêm bất kỳ ai cũng có thể bảo trì gói mà không cần thông báo cho những người dùng hoặc nhận được sự đồng ý của họ,” Yakir Kadkoda của Aqua cho biết trong một báo cáo được công bố hôm thứ Ba.
Điều này có nghĩa là kẻ xấu có thể tạo ra các gói chứa phần mềm độc hại và gán chúng cho những người bảo trì đáng tin cậy nhưng họ lại không hề biết.
Chẳng hạn như thêm chủ sở hữu đáng tin cậy được liên kết với các thư viện NPM phổ biến khác vào gói nhiễm độc do kẻ tấn công kiểm soát với hy vọng rằng làm như vậy sẽ thu hút các nhà phát triển tải xuống.
Hậu quả của một cuộc tấn công chuỗi cung ứng như vậy không chỉ khiến niềm tin với những nhà phát triển đáng tin cậy bị lợi dụng mà còn ảnh hưởng đến uy tín của những nhà bảo trì gói hợp pháp.
Tiết lộ được đưa ra khi Aqua phát hiện thêm hai lỗ hổng trong nền tảng NPM liên quan đến xác thực hai yếu tố (2FA) có thể bị lạm dụng để tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản và xuất bản các gói độc hại.
“Vấn đề chính là bất kỳ người dùng NPM nào cũng có thể thực hiện điều này và thêm những người dùng NPM khác làm người bảo trì gói của riêng họ,” Kadkoda nói. "Cuối cùng, các nhà phát triển phải chịu trách nhiệm về những gói mã nguồn mở mà họ sử dụng khi xây dựng ứng dụng".
Điều này có nghĩa là kẻ xấu có thể tạo ra các gói chứa phần mềm độc hại và gán chúng cho những người bảo trì đáng tin cậy nhưng họ lại không hề biết.
Chẳng hạn như thêm chủ sở hữu đáng tin cậy được liên kết với các thư viện NPM phổ biến khác vào gói nhiễm độc do kẻ tấn công kiểm soát với hy vọng rằng làm như vậy sẽ thu hút các nhà phát triển tải xuống.
Hậu quả của một cuộc tấn công chuỗi cung ứng như vậy không chỉ khiến niềm tin với những nhà phát triển đáng tin cậy bị lợi dụng mà còn ảnh hưởng đến uy tín của những nhà bảo trì gói hợp pháp.
Tiết lộ được đưa ra khi Aqua phát hiện thêm hai lỗ hổng trong nền tảng NPM liên quan đến xác thực hai yếu tố (2FA) có thể bị lạm dụng để tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản và xuất bản các gói độc hại.
“Vấn đề chính là bất kỳ người dùng NPM nào cũng có thể thực hiện điều này và thêm những người dùng NPM khác làm người bảo trì gói của riêng họ,” Kadkoda nói. "Cuối cùng, các nhà phát triển phải chịu trách nhiệm về những gói mã nguồn mở mà họ sử dụng khi xây dựng ứng dụng".
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: