Một “lỗ hổng logic” đã được tiết lộ trong npm, trình quản lý gói mặc định cho môi trường thời gian chạy JavaScript của Node.js, cho phép các tác nhân độc hại chuyển thư viện giả mạo là hợp pháp và lừa các nhà phát triển không nghi ngờ cài đặt chúng.
Mối đe dọa chuỗi cung ứng đã được các nhà nghiên cứu từ công ty bảo mật đám mây Aqua gọi là “Trồng cây trọn gói”. Sau khi tiết lộ có trách nhiệm vào ngày 10 tháng 2, vấn đề cơ bản đã được NPM khắc phục vào ngày 26 tháng 4.
“Cho đến gần đây, NPM đã cho phép thêm bất kỳ ai làm người bảo trì gói mà không cần thông báo cho những người dùng này hoặc nhận được sự đồng ý của họ,” Yakir Kadkoda của Aqua cho biết trong một báo cáo được công bố hôm thứ Ba.
Điều này hiệu quả có nghĩa là kẻ thù có thể tạo ra các gói chứa phần mềm độc hại và gán chúng cho những người bảo trì phổ biến, đáng tin cậy mà họ không hề hay biết.
Ý tưởng ở đây là thêm các chủ sở hữu đáng tin cậy được liên kết với các thư viện NPM phổ biến khác vào gói nhiễm độc do kẻ tấn công kiểm soát với hy vọng rằng làm như vậy sẽ thu hút các nhà phát triển tải xuống.
Hậu quả của một cuộc tấn công chuỗi cung ứng như vậy là đáng kể vì một số lý do. Nó không chỉ mang lại cảm giác tin tưởng sai cho các nhà phát triển mà còn có thể gây thiệt hại về danh tiếng cho những người duy trì gói hợp pháp.
Tiết lộ được đưa ra khi Aqua phát hiện thêm hai lỗ hổng trong nền tảng NPM liên quan đến xác thực hai yếu tố (2FA) có thể bị lạm dụng để tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản và xuất bản các gói độc hại.
“Vấn đề chính là bất kỳ người dùng npm nào cũng có thể thực hiện điều này và thêm những người dùng NPM khác làm người bảo trì gói của riêng họ”, Kadkoda nói. “Cuối cùng, các nhà phát triển phải chịu trách nhiệm về những gói mã nguồn mở mà họ sử dụng khi xây dựng ứng dụng.”
.
