- Meer dan 43.000 inactieve spampakketten overspoelden npm in een gecoördineerde tweejarige campagne
- Sommige pakketten bevatten wormachtige scripts die automatisch nieuwe vermeldingen genereren en publiceren
- Aanvallers kunnen TEA-impactscores vervalsen om gedecentraliseerde ontwikkelaarsbeloningen te krijgen
Ongeveer 1% van het hele npm-ecosysteem bestaat nu uit nep- en inactieve pakketten die door de jaren heen zijn geüpload als onderdeel van gerichte – en mogelijk kwaadaardige – campagnes, beweren experts.
De cyberbeveiligingsonderzoekers van Endor Labs ontdekten meer dan 43.000 spampakketten waarvan het uploaden bijna twee jaar in beslag nam. Dit gebeurde in een gecoördineerde inspanning waarbij ten minste elf verschillende gebruikersaccounts nodig waren.
“De pakketten werden systematisch gedurende een lange periode gepubliceerd, waardoor het npm-register werd overspoeld met ongewenste pakketten die bijna twee jaar in het ecosysteem bleven bestaan”, aldus de onderzoekers.
TEA-token oogsten?
De onderzoekers noemden de Indonesian Food-campagne vanwege de naamgeving van de pakketten. Het kwaadaardige script dat voor de naamgeving wordt gebruikt, bevat twee interne woordenboeken, één met Indonesische namen en de andere met Indonesische voedseltermen. Terwijl het script wordt uitgevoerd, selecteert het willekeurig twee termen, voegt een getal toe en voegt een achtervoegsel toe.
Het vreemde is dat de pakketten zelf niet kwaadaardig zijn. Ze zijn niet ontworpen om gevoelige ontwikkelaarsgegevens te stelen of als achterdeur te fungeren. In plaats daarvan liggen ze daar gewoon, inactief, downloads te verzamelen.
Sommige pakketten worden wekelijks duizenden keren gedownload, zo legden de onderzoekers uit, wat erop duidt dat dit aanvallers een potentieel voordeel geeft: “Dit biedt aanvallers de mogelijkheid om in de toekomst kwaadaardige acties uit te voeren die al die downloads zouden beïnvloeden.”
Sommige pakketten bevatten wormachtige scripts die, wanneer ze worden uitgevoerd, extra scripts genereren en creëren die vervolgens aan npm worden toegevoegd.
Afgezien van het kwaadaardige potentieel, denken onderzoekers ook dat dit onderdeel kan zijn van een financieel gemotiveerde campagne. Blijkbaar bevatten sommige pakketten een tea.yaml-bestand, waarin het TEA-account wordt vermeld. Tea is een gedecentraliseerd raamwerkprotocol waarbij open source-ontwikkelaars worden beloond als ze software bijdragen.
Dit zou kunnen betekenen dat de aanvaller de impactscore probeert te vervalsen, waardoor hij meer TEA-tokens verkrijgt.
Door Hackernieuws
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om nieuws, recensies en onze deskundige meningen in uw feed te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons Wat is het Ook.
