Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением.
Автор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователи обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели.
При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносных пакетов NPM.
Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать.
Компания выкатила полный список вредоносных пакетов в своей документации. (https://checkmarx.com/blog/a-beautiful-factory-for-malicious-packages/)