攻撃者は、NPM コード リポジトリへのアクセスを可能にする重大な欠陥を利用しており、8 月以降、100 を超える検証パッケージが止まることなく盗まれています。
水曜日、NPM の実践に重点を置いているセキュリティ会社 KOI が、信頼されていないドメインからの不要なパッケージを自動的に傍受して実行していることを知りました。 Koi は、PhantomRaven と同様に、「任意の幸せな NPM パッケージ」を MM に使用するキャンペーンを実施し、126 個の衝撃的なパッケージが 86,000 回以上ダウンロードされました。コイ氏によると、そのうち約80個は水曜日の朝もまだ入手可能だったという。
死角
「プラントマインはストライカーがどうやってうまくやっていくかを示している」 [better] 従来のセキュリティ ツールの盲点を使用する場合、「コイ ヤマム オーレン ヨムトフはこう書いています。」動的依存関係は静的分析からは見えません。」
動的リモート依存関係は、他の多くのパッケージが動作するために必要なコード依存関係ライブラリにより柔軟にアクセスできます。通常、依存関係はパッケージのインストールの開発者に表示されます。通常、これらは信頼された NPM インフラストラクチャから除外されます。
RDD の動作は異なります。これにより、HTTP に接続するものであっても、トレーニングされていない依存関係からパッケージをダウンロードできます。 fantomrin 攻撃により、このコードは 126 のダウンロード パッケージ内のコードを介して NPM にアップロードされました。サブコードは、http://packages.storeartifact.com/npm/unided-iveports などの URL から削除されます。ケイ氏は、これらの依存関係は開発者や冗長スキャナーには「見えない」と述べた。代わりに、パッケージに「依存関係が 0」であることが表示されます。 NPM 機能により、目に見えないダウンロードが自動的にインストールされます。
パッケージがインストールされるたびに、パッケージがある場合、パッケージがある場合、KOI が定義されている場合、コピーやその他の静的なものではなく、攻撃サーバーから「新たに」ロードされます。
