Ngày 16 tháng 2 năm 2023Ravie Lakshmanan Chuỗi cung ứng / Bảo mật phần mềm
Một gói npm phổ biến với hơn 3,5 triệu lượt tải xuống hàng tuần đã bị phát hiện dễ bị tấn công chiếm đoạt tài khoản.
Công ty bảo mật chuỗi cung ứng phần mềm Illustria cho biết trong một báo cáo: “Gói này có thể bị chiếm đoạt bằng cách khôi phục một tên miền đã hết hạn cho một trong những nhà bảo trì của nó và đặt lại mật khẩu”.
Mặc dù các biện pháp bảo vệ an ninh của npm giới hạn người dùng chỉ có một địa chỉ email hoạt động cho mỗi tài khoản, nhưng công ty Israel cho biết họ có thể đặt lại mật khẩu GitHub bằng tên miền đã khôi phục.
Tóm lại, cuộc tấn công cấp cho tác nhân đe dọa quyền truy cập vào tài khoản GitHub được liên kết của gói, giúp xuất bản các phiên bản trojan hóa lên sổ đăng ký npm một cách hiệu quả, có thể được vũ khí hóa để tiến hành các cuộc tấn công chuỗi cung ứng trên quy mô lớn.
Điều này đạt được bằng cách tận dụng một Hành động GitHub được định cấu hình trong kho lưu trữ để tự động xuất bản các gói khi các thay đổi mã mới được đẩy.
“Mặc dù tài khoản người dùng npm của người bảo trì được định cấu hình đúng với [two-factor authentication]mã thông báo tự động hóa này bỏ qua nó,” Bogdan Kortnov, đồng sáng lập và CTO của Illustria, cho biết.
Illustria không tiết lộ tên của mô-đun, nhưng lưu ý rằng nó đã liên hệ với người bảo trì của nó, người đã thực hiện các bước để bảo mật tài khoản.
Đây không phải là lần đầu tiên tài khoản nhà phát triển bị phát hiện dễ bị tiếp quản trong những năm gần đây. Vào tháng 5 năm 2022, một kẻ đe dọa đã đăng ký một miền hết hạn được sử dụng bởi người bảo trì được liên kết với gói ctx Python để chiếm quyền kiểm soát tài khoản và phát tán một phiên bản độc hại.
