Checkmarx hat eine Bedrohung im Zusammenhang mit der Aktivität des RED-LILI-Angreifers entdeckt, der dafür bekannt ist, Hunderte von schädlichen Paketen im automatisierten Modus zu erstellen und an das NPM-Ökosystem zu liefern, was ernsthafte Bedenken im Zusammenhangriffen auf Abhängigkeitsketten aufwirft, insbesondere gegen vor dem Hintergrund der jüngsten Sabotagevorfälle durch einzelne Entwickler.
Laut Checkmarx hat RED-LILI den Prozess der Erstellung von NPM-Konten vollständig automatisiert, um schwer zu erkennende Abhängigkeitsverwirrungsangriffe durchzuführen.
Typischerweise verwenden Angreifer zu diesem Zweck ein anonymes NPM-Disposable-Konto, von dem aus sie ihre Angriffe starten. In dieser Situation hat der Angreifer den Erstellungsprozess vollständig automatisiert, indem er dedizierte Konten für jedes Paket mit einem böswilligen Anhang erstellt hat.
Der Akteur ist derzeit noch aktiv und produziert weiterhin bösartige Pakete. Bisher haben die Forscher etwa 800 Pakete entdeckt und verfolgt, von denen die meisten ein eigenes Benutzerkonto für jedes hatten, das innerhalb einer Woche erstellt wurde.
Gleichzeitig wurden die Paketnamen methodisch ausgewählt, und die Namen der Benutzer, die sie veröffentlichten, waren zufällig generierte Zeichenfolgen, darunter beispielsweise 5t7crz72 und d4ugwerp.
Alles deutet darauf hin, dass der Angreifer einen End-to-End-Automatisierungsprozess erstellt, einschließlich Benutzerregistrierung und OTP-Anrufweiterleitung sowie das Verstecken bösartiger NPM-Pakete.
Wenn es vor diesem Vorfall Fälle gab, in denen schädliche Payloads in einem halbautomatischen Modus veröffentlicht wurden, organisierte RED-LILI alles in einem vollautomatischen Format, wodurch die Wahrscheinlichkeit einer Infektion erheblich erhöht wurde. Und diese Tatsache markiert einen neuen Trend in der Bedrohungslandschaft im NPM-Ökosystem. Natürlich werden negative Prozesse nur fortschreiten.
Das Unternehmen hat die vollständige Liste der bösartigen Pakete in seiner Dokumentation veröffentlicht. (https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/)
bbabo.Net