Компания Checkmarx обнаружила угрозу, связанную со злоумышленником RED-LILI. Который отличается тем, что создает и поставляет сотни вредоносных пакетов в экосистему NPM в автоматическом режиме. Это вызывает серьезные опасения в контексте атак на цепочки зависимостей, особенно на фоне недавних случаев саботажа отдельных разработчиков.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учетной записи NPM для проведения труднообнаруживаемых атак «путаницы зависимостей».
Как правило, злоумышленники используют анонимную, одноразовую учетную запись NPM для проведения атак. В этой ситуации злоумышленник полностью автоматизировал процесс создания. Он создает специальные учетные записи для каждого пакета с вредоносным соединением.
Преступник все еще активен и продолжает доставлять вредоносные пакеты. На данный момент исследователи обнаружили и отследили около 800 пакетов. Большинство имели уникальную учетную запись пользователя для каждого пакета, созданного за неделю.
Имена пакетов были методично отобраны, а имена пользователей, разместивших их, представляли собой случайно сгенерированные строки, включая имена 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник разработал сквозной процесс автоматизации, включая регистрацию пользователей и маршрутизацию вызовов OTP. А также скрыл вредоносные пакеты NPM.
Если до этого инцидента были случаи полуавтоматической публикации вредоносных полезных нагрузок, то RED-LILI организовал это полностью автоматически. А это в свою очередь значительно увеличило вероятность заражения. И это знаменует собой новую тенденцию в ландшафте угроз в экосистеме NPM. Негативные процессы, несомненно, будут продолжаться.
