Supply Chain Attack

Paket NPM Berbahaya Menargetkan Perusahaan Jerman dalam Serangan Rantai Pasokan

Peneliti keamanan siber telah menemukan sejumlah paket berbahaya di registri NPM yang secara khusus menargetkan sejumlah perusahaan terkemuka yang berbasis di Jerman untuk dilakukan. serangan rantai pasokan.

“Dibandingkan dengan kebanyakan malware yang ditemukan di repositori NPM, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan disamarkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang mengambil kendali penuh atas mesin yang terinfeksi,” peneliti dari JFrog dikatakan dalam laporan baru.

Perusahaan DevOps mengatakan bahwa bukti menunjukkan bahwa itu adalah pekerjaan aktor ancaman yang canggih atau tes penetrasi yang “sangat agresif”.

Semua paket nakal, yang sebagian besar telah dihapus dari repositori, telah dilacak ke empat “pengelola” – bertelsmannnpm, boschnodemodules, stihlnodemodules, dan dbschenkernpm — menunjukkan upaya untuk meniru perusahaan yang sah seperti Bertelsmann, Bosch, Stihl, dan DB Schenker.

Beberapa nama paket dikatakan sangat spesifik, meningkatkan kemungkinan bahwa musuh berhasil mengidentifikasi perpustakaan yang dihosting di repositori inside perusahaan dengan tujuan untuk membuat kebingungan ketergantungan menyerang.

Serangan Rantai Pasokan

Temuan ini didasarkan pada laporan dari Snyk akhir bulan lalu yang merinci salah satu paket yang menyinggung, “gxm-reference-web-auth-server,” mencatat bahwa malware tersebut menargetkan perusahaan yang tidak dikenal yang memiliki paket yang sama di registri pribadi mereka.

“Penyerang kemungkinan memiliki informasi tentang keberadaan paket semacam itu di registri pribadi perusahaan,” kata tim peneliti keamanan Snyk.

Menyebut implan sebagai “pengembangan inside,” JFrog menunjukkan bahwa malware memiliki dua komponen, penetes yang mengirimkan informasi tentang mesin yang terinfeksi ke server telemetri jarak jauh sebelum mendekripsi dan menjalankan pintu belakang JavaScript.

Pintu belakang, meskipun tidak memiliki mekanisme kegigihan, dirancang untuk menerima dan menjalankan perintah yang dikirim dari server perintah-dan-kontrol yang dikodekan dengan keras, mengevaluasi kode JavaScript arbitrer, dan mengunggah file kembali ke server.

“Serangan itu sangat ditargetkan dan bergantung pada informasi orang dalam yang sulit didapat,” kata para peneliti. Tetapi di sisi lain, “nama pengguna yang dibuat di registri NPM tidak mencoba menyembunyikan perusahaan yang ditargetkan.”



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts