کمیته رکن چهارم – کتابخانه جاوا اسکریپت که خود را به عنوان یک کتابخانه مرتبط با Twilio نشان میدهد، درهای مخفی را باز میکند تا به مهاجمان اجازه دهد به ایستگاههای کاری آلوده دسترسی پیدا کنند.
تیم امنیتی npm یک کتابخانه مخرب JavaScript را از وبسایت npm حذف کرده که حاوی کد مخربی برای باز کردن درهای مخفی در رایانههای برنامهنویسان است.
کتابخانه جاوا اسکریپت twilio-npm نامگذاری و رفتار مخرب آن توسط Sonatype کشف شده است، شرکتی که مخازن بستههای عمومی را به عنوان بخشی از خدمات امنیت توسعه دهنده (DevSecOps) خود نظارت میکند.
در گزارشی که منتشر شده، Sonatype اعلام کرده که این کتابخانه نخستینبار در وبسایت npm منتشر شده و در همان روز کشف و پس از اینکه تیم امنیتی nmp آن را در لیست سیاه قرار داد حذف شده است.
با وجود عمر کوتاه آن در پورتال npm، این کتابخانه بیش از ۳۷۰ بار دانلود شد و بهطور خودکار در پروژههای جاوا اسکریپت وارد شده و از طریق برنامه command line nmp (مدیر بسته بندی) مدیریت شد.
Ax Sharma، محقق امنیتی Sonatype که کتابخانه را کشف و تحلیل کرد، گفت: کد مخربی که در کتابخانه جعلی Twilio پیدا شده است، پوسته معکوس TCP را در همه رایانههایی که در آن کتابخانه دانلود شده و وارد پروژههای JavaScript / npm / Node.js شده است، باز میکند.
پوسته معکوس اتصال به “۴.tcp.ngrok [.] io: ۱۱۴۲۵”، از جایی که منتظر دریافت دستورات جدید برای اجرا در رایانههای آلوده کاربران بود را باز میکند.
پوسته معکوس فقط روی سیستم عاملهای مبتنی بر UNIX کار میکند. تیم امنیتی npm با تأیید تحقیقات Sonatype گفت: هر رایانهای که این بسته را نصب یا اجرا کند کاملاً در معرض خطر قرار گرفته است.
تیم npm افزود: تمام اسرار و کلیدهای ذخیره شده در آن رایانه باید بلافاصله از رایانه دیگری rotate شوند.
این چهارمین عملیات علیه بسته مخرب npm طی سه ماه گذشته است. در اواخر ماه آگوست، کارمندان npm کتابخانه ( (JavaScript مخربی را که برای سرقت فایلهای حساس از مرورگر آلوده کاربران و برنامه Discord که طراحی شده بود، حذف کردند.
در ماه سپتامبر، کارکنان npm چهار کتابخانه npm (جاوا اسکریپت) را برای جمع آوری اطلاعات کاربران و بارگذاری اطلاعات سرقت شده در یک صفحه عمومی GitHub حذف کردند.
در ماه اکتبر، تیم npm سه بسته npm (جاوا اسکریپت) را که همچنین در باز شدن پوستههای معکوس (درهای مخفی) در رایانهها کشف شده بودند را حذف کرد. این سه بسته نیز توسط Sonatype کشف شد. آنها نه فقط بر روی سیستمهای مشابه UNIX بلکه بر روی سیستمهای ویندوز نیز عمل میکردند.
منبع : مرکز مدیریت راهبردی افتا
