The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака на немецкие компания через NPM-пакеты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от opennews (?), 13-Май-22, 10:41 
Раскрыта новая порция вредоносных NPM-пакетов, созданных для целевых атак на немецкие компании Bertelsmann, Bosch, Stihl и DB Schenker. Для атаки использован метод смешивания зависимостей, манипулирующий пересечением имён зависимостей в публичных и внутренних репозиториях. В имеющихся в публичном доступе приложениях атакующие находят следы обращения ко внутренним NPM-пакетам, загружаемым из корпоративных репозиториев, поле чего размещают пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM.  Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57177

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака на немецкие компания через NPM-пакеты"  +5 +/
Сообщение от ИмяХ (?), 13-Май-22, 10:41 
Как же хорошо, что ещё остались люди, которые перед установкой приложений полностью читают их исходные коды, благодаря чему обеспечивают безопасность.
Ответить | Правка | Наверх | Cообщить модератору

2. "Атака на немецкие компания через NPM-пакеты"  +22 +/
Сообщение от распад олова (?), 13-Май-22, 10:44 
ядро линукс тоже читаешь перед установкой?
Ответить | Правка | Наверх | Cообщить модератору

12. "Атака на немецкие компания через NPM-пакеты"  –7 +/
Сообщение от Аноним (12), 13-Май-22, 11:23 
Ядро линукс стало приложением?
Ответить | Правка | Наверх | Cообщить модератору

27. "Атака на немецкие компания через NPM-пакеты"  +4 +/
Сообщение от Аноним (27), 13-Май-22, 12:23 
А что это? Чем является 30 мб блоб (3 мб в сжатом виде)? Это такая же компиляция софта как и что угодно ещё. Для сравнения, у хрома около-гигабайтный блоб. Хром -- приложение? Какого размера должен быть блоб, чтобы стать приложением?
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от Аноним (-), 13-Май-22, 16:33 
Нет, но вообще пробэкдорить кернел эффективнее чем приложения. Ведь оно все их запросы выполняет.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

26. "Атака на немецкие компания через NPM-пакеты"  +6 +/
Сообщение от Аноним (26), 13-Май-22, 12:18 
Он читает код хромиума перед установкой.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

39. "Атака на немецкие компания через NPM-пакеты"  +3 +/
Сообщение от Гыгыгы (?), 13-Май-22, 15:20 
Дважды.
Ответить | Правка | Наверх | Cообщить модератору

54. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от Аноним (54), 15-Май-22, 11:22 
Дважды - чтобы во втором чтении внести правки?
Ответить | Правка | Наверх | Cообщить модератору

55. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от Аноним (55), 15-Май-22, 12:24 
А в третьем - отменить!
Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на немецкие компания через NPM-пакеты"  –1 +/
Сообщение от Аноним (-), 13-Май-22, 15:40 
Я комиты между версиями читаю, как минимум в интересующих меня местах. А так там куча роботов, анализаторов, ревью при мерже несколькими мордами и все такое...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Атака на немецкие компания через NPM-пакеты"  +1 +/
Сообщение от Аноним (48), 13-Май-22, 17:59 
А там тысячи глаз™
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака на немецкие компания через NPM-пакеты"  +1 +/
Сообщение от Аноним (27), 13-Май-22, 10:48 
Как можно додуматься отдавать предпочтение внешнему пакету вместо внутреннего? Наверно же не просто так он там лежит. Или у них там нет разделения откуда и что скачивать, лишь бы самое свежее урвать?
Ответить | Правка | Наверх | Cообщить модератору

8. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от Аноним (8), 13-Май-22, 11:12 
Так-то можно явно версию пакета указать.
Ответить | Правка | Наверх | Cообщить модератору

36. "Атака на немецкие компания через NPM-пакеты"  –1 +/
Сообщение от НяшМяш (ok), 13-Май-22, 13:11 
Чтобы так не подставляться, можно делать локальный форк со своим скоупом, например leftpad превращается в @vasyan/leftpad. И в локальном .npmrc можно вписать что-то типа @vasyan:registry=https://npm.pkg.github.com . Работает даже с приватными репозиториями, надо только auth token сгенерировать. Подменить имя гитхаб пользователя будет явно посложнее.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

56. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от другое Имя (?), 15-Май-22, 20:21 
А как можно додуматься до функции json_last_error_msg() в PHP? Вот я думаю, что это всё какая-то определённая порода кодакОв (программистами их назвать ни в коем случае нельзя) придумывает.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Атака на немецкие компания через NPM-пакеты"  –3 +/
Сообщение от Жироватт (ok), 13-Май-22, 10:48 
Признание виновными во всем и сразу русских хакеров через: 3... 2... 1... признано!
Загрузка сообщений от прикормленных "экспердов" по безопасности - 32% завершено
Создание медийного скандала с привлечением политики - 1% завершено.

---
А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же?

Нет, требую пояснительную бригаду в студию, какой в этом практический смысл?

Ответить | Правка | Наверх | Cообщить модератору

5. "Атака на немецкие компания через NPM-пакеты"  +2 +/
Сообщение от Аноним (5), 13-Май-22, 10:58 
>А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же?

если внимательно подумать, то окажется что все системы управления пакетами так и работают - важно в первую очередь название пакета и его версия, а репозиторий как правило не указывается, хоть обычно и есть такая возможность.

Ответить | Правка | Наверх | Cообщить модератору

10. "Атака на немецкие компания через NPM-пакеты"  +2 +/
Сообщение от Жироватт (ok), 13-Май-22, 11:22 
В обслуживаемых специально обученными мейнтейнерами репозиториях, допустим, привязка пакета ААА к репозиторию bb или cc действительно нужна скорее для бэклога - узнать откуда установлен пакет.

Другое дело, что ЕМНИП во всех виденных мной реализациях есть так или иначе механизм приоритета репозиториев и маскировок. Ну т.е.
- при обновлении при одинаковом приоритете bb:AAA v0.1 до cc:AAA v0.2 обычно спрашивается, мол, стоит ли обновлять с заменой репов
- если реп bb стоит по приоритету выше сс, то для обновления нужно специально указывать смену репа
- если реп bb маскирует пересечение с сс, то пакет cc:ААА не будет виден за bb:AAA хоть там на десять мажорок выше версия.

Все равно не понимаю, почему у паблик-помойки нету даже такого?
Ну там хотя бы чтобы внутренние репы маскировали паблик, я не заикаюсь даже про веса приоритетов.

Ответить | Правка | Наверх | Cообщить модератору

23. "Атака на немецкие компания через NPM-пакеты"  +/
Сообщение от Аноним (23), 13-Май-22, 12:15 
Ты так говоришь как будто твои русские хакеры святые и непогрешимые.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Атака на немецкие компания через NPM-пакеты"  +3 +/
Сообщение от Аноним (29), 13-Май-22, 12:26 
Дадада, решили ломануть как раз те компании, которые решили остаться в России.

А вообще, откуда в России хакеры? Там же только дикие russkies в ushankas с balalaikas.

Ответить | Правка | Наверх | Cообщить модератору

42. "Атака на немецкие компания через NPM-пакеты"  –1 +/
Сообщение от Аноним (-), 13-Май-22, 15:42 
Даже орк может стрелять, не из лука как эльф так из арбалета.
Ответить | Правка | Наверх | Cообщить модератору

6. "Атака на немецкие компании через NPM-пакеты"  +2 +/
Сообщение от Аноним (6), 13-Май-22, 10:59 
Судя по всему, это был пентестер, а подстановка была запланированной проверкой:

On Wednesday, just hours before both JFrog and ReversingLabs posted blogs here and here, a penetration testing boutique named Code White took credit for the packages.

“Tnx for your excellent analysis,” the firm said in a tweet that addressed Snyk and cited its blog post from last month. “And don't worry, the ‘malicious actor’ is one of our interns 😎 who was tasked to research dependency confusion as part of our continuous attack simulations for clients. To clarify your questions: we're trying to mimic realistic threat actors for dedicated clients as part of our Security Intelligence Service and we brought our ‘own’ package manager that supports yarn and npm.”

Источник: https://arstechnica.com/information-technology/2022/05/backd.../

Ответить | Правка | Наверх | Cообщить модератору

17. "Атака на немецкие компании через NPM-пакеты"  +4 +/
Сообщение от Жироватт (ok), 13-Май-22, 11:30 
Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса.
С другой стороны, в современном мире сказанное правильными людьми "Это не карманная кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными за руку, на ура срабатывает.
Ответить | Правка | Наверх | Cообщить модератору

19. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (19), 13-Май-22, 11:40 
> Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса.
> С другой стороны, в современном мире сказанное правильными людьми "Это не карманная
> кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными
> за руку, на ура срабатывает.

С другой стороны, опеннет без сравнения опы с пальцем и додумывания "как оно там все на самом деле" после чтения заголока - не опеннет.
>> In a direct message, Code White CEO David Elze said the company intern created and posted the packages as part of a legitimate penetration-testing exercise explicitly authorized by the companies affected.
>>

Ответить | Правка | Наверх | Cообщить модератору

22. "Атака на немецкие компании через NPM-пакеты"  +2 +/
Сообщение от Жироватт (ok), 13-Май-22, 11:54 
> “We do not disclose the names of our clients but specifically, I can confirm that we're legally contracted by the affected companies and were acting on their behalf to simulate these realistic attack scenarios,” Elze said.

...или просто взял на себя ответственность, чтобы потушить никому не нужный скандал там, где раздувать его не захотели?

Обычно, как замечено выше, в самой новости, такие proof-of помечаются в коде или безобидными заглушками, или специальными комментариями, но никак не обфусцированной малварью.

Ответить | Правка | Наверх | Cообщить модератору

7. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (7), 13-Май-22, 11:01 
>обфусцированный

Зачем? Снимается же тривиально.

Ответить | Правка | Наверх | Cообщить модератору

9. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Ты (?), 13-Май-22, 11:19 
конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены будут либо делать свои версии нужного ПО, что приведёт к фрагментации, либо должны будут оплачивать аудит каждого нового тарбала. и даже в рамках одной организации может найтись шпион, который всроит бэкдор.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака на немецкие компании через NPM-пакеты"  –1 +/
Сообщение от Ты (?), 13-Май-22, 11:23 
> конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены
> будут либо делать свои версии нужного ПО, что приведёт к фрагментации,
> либо должны будут оплачивать аудит каждого нового тарбала. и даже в
> рамках одной организации может найтись шпион, который всроит бэкдор.

и лёгким движением ноги, такие рапы как у питона, ноды, го, Dlang могут быть рассадником довольно просто

Ответить | Правка | Наверх | Cообщить модератору

14. "Атака на немецкие компании через NPM-пакеты"  +2 +/
Сообщение от Жироватт (ok), 13-Май-22, 11:24 
Скорее приведет к патовой ситуции хакера и солонки.
Ну и да, расширение круга недоверенных систем с сопутствующими механизмами и накладными расходами
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

18. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Ты (?), 13-Май-22, 11:33 
> фирмы вынуждены будут либо делать свои версии нужного ПО

объявляю 10 лет велосипедостроения! скорее всего всё так теперь и будет

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

20. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от test (??), 13-Май-22, 11:53 
А в чем проблема ?
Либо юзай и проверяй сам, либо плати за саппорт и поддержку.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

33. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от arisu (ok), 13-Май-22, 12:53 
> конец опенсорцу? кто теперь поверит честному слову?

ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш код? шеф, всё пропало, код убирают, корпорасты убегают!

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

40. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Ты (?), 13-Май-22, 15:39 
>> конец опенсорцу? кто теперь поверит честному слову?
> ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш
> код? шеф, всё пропало, код убирают, корпорасты убегают!

а свободным кодерам легче что ли?

Ответить | Правка | Наверх | Cообщить модератору

13. "Атака на немецкие компании через NPM-пакеты"  –1 +/
Сообщение от Аноним (12), 13-Май-22, 11:24 
Делайте сами, зачем вам эти пакеты.
Ответить | Правка | Наверх | Cообщить модератору

16. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Жироватт (ok), 13-Май-22, 11:25 
Не все пакеты содержат в себе лефтпады.
Ответить | Правка | Наверх | Cообщить модератору

25. "Атака на немецкие компании через NPM-пакеты"  –3 +/
Сообщение от Аноним (23), 13-Май-22, 12:16 
Лефтпад не зловред это чисто чтобы ты бы в курсе, для твоего общего развития.  
Ответить | Правка | Наверх | Cообщить модератору

34. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (34), 13-Май-22, 12:59 
Контекст дискуссии не зловред это чисто чтобы ты бы в курсе, для твоего общего развития.

Но для одаренных: не все пакеты в пару строк, как leftpad, чтобы повально отказываться от всего и писать свои велосипеды.

Ответить | Правка | Наверх | Cообщить модератору

21. "Атака на немецкие компании через NPM-пакеты"  +7 +/
Сообщение от Аноним (21), 13-Май-22, 11:53 
> ldtzstxwzpntxqn и lznfjbhurpjsqmr

немецкая народная традиция - первой на клавиатуру кидают кошку, что получилось - так и называют пакет

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (26), 13-Май-22, 12:15 
> немецкая народная традиция

шифровальная машина Энигма.

Может, это шифротекст для агентов.

Ответить | Правка | Наверх | Cообщить модератору

28. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Анонзо (?), 13-Май-22, 12:23 
Кошка постоянно приземляется сначала на клавишу l и делает после этого ещё 14 ударов по другим клавишам.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Аноним (26), 13-Май-22, 12:36 
> клавишу l

I или l?

Ответить | Правка | Наверх | Cообщить модератору

32. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (27), 13-Май-22, 12:39 
I в 2 раза жирнее l, не говоря уж о том, что на шрифтах с засечками они совсем разные.
Ответить | Правка | Наверх | Cообщить модератору

31. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Жироватт (ok), 13-Май-22, 12:39 
Ты бы поаккуратнее был бы, кошка только вчера получила звание штандартенфюрера.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

35. "Атака на немецкие компании через NPM-пакеты"  –1 +/
Сообщение от YetAnotherOnanym (ok), 13-Май-22, 13:06 
> пакеты с теми же именами и более новыми номерами версий
> пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет

Любители обмазываться свеженьким должны страдать

Ответить | Правка | Наверх | Cообщить модератору

52. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (52), 13-Май-22, 23:14 
Как и любители засохшего
Ответить | Правка | Наверх | Cообщить модератору

37. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Аноним (37), 13-Май-22, 14:33 
> Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов.

Верим.

Npm уже унизили все кто может.

Ответить | Правка | Наверх | Cообщить модератору

53. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (52), 13-Май-22, 23:15 
... а караван всё идёт.
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (43), 13-Май-22, 15:47 
Когда же наконец до людей начнет доходить важность умения написать код на стандартной библиотеке без использования сторонних фреймворков и библиотек?
Ответить | Правка | Наверх | Cообщить модератору

46. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Аноним (46), 13-Май-22, 16:38 
Напомни кто за это заплатит? Если ты мне оплатишь я только за.
Ответить | Правка | Наверх | Cообщить модератору

49. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от bemail (?), 13-Май-22, 20:56 
Вот только пока ты будешь писать все потенциальные клиенты умрут от старости, а их останки начнут выставлять археологи в музеях.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

44. "Атака на немецкие компании через NPM-пакеты"  –1 +/
Сообщение от Аноним (44), 13-Май-22, 15:52 
>Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов. В ходе эксперимента были имитированы действия реальных злоумышленников для проверки эффективности работы внедрённых мер защиты.

Что-то это напоминает "Рязанский сахар" 1999 г.

Ответить | Правка | Наверх | Cообщить модератору

47. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (46), 13-Май-22, 16:39 
Пусть под одеялом имитирует имитатор.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от bemail (?), 13-Май-22, 21:01 
Это обычная практика аудита безопасности. Нанимается несколько комманд и они пытаются ломать (заранее предупретив узкий круг людей из руководства и ознакомив их с планом) компанию по всем областям - от социальной инженерии, цепочее доставок, сетей, до физического вламывания в серверную/офис. Полет фантазии ограничен только суммой вознаграждения.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

51. "Атака на немецкие компании через NPM-пакеты"  +1 +/
Сообщение от Аноним (52), 13-Май-22, 23:11 
стопочку новичка этому товарищу
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

57. "Атака на немецкие компании через NPM-пакеты"  +/
Сообщение от Аноним (57), 16-Май-22, 10:04 
дырявее этой поделки только cargo.io от расторастов
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру