Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на немецкие компания через NPM-пакеты"	+/–
Сообщение от opennews (?), 13-Май-22, 10:41
Раскрыта новая порция вредоносных NPM-пакетов, созданных для целевых атак на немецкие компании Bertelsmann, Bosch, Stihl и DB Schenker. Для атаки использован метод смешивания зависимостей, манипулирующий пересечением имён зависимостей в публичных и внутренних репозиториях. В имеющихся в публичном доступе приложениях атакующие находят следы обращения ко внутренним NPM-пакетам, загружаемым из корпоративных репозиториев, поле чего размещают пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM.  Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57177
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ИмяХ (?), 13-Май-22, 10:41	+5 +/–
Как же хорошо, что ещё остались люди, которые перед установкой приложений полностью читают их исходные коды, благодаря чему обеспечивают безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от распад олова (?), 13-Май-22, 10:44	+22 +/–
ядро линукс тоже читаешь перед установкой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12, #26, #41

3. Сообщение от Аноним (27), 13-Май-22, 10:48	+1 +/–
Как можно додуматься отдавать предпочтение внешнему пакету вместо внутреннего? Наверно же не просто так он там лежит. Или у них там нет разделения откуда и что скачивать, лишь бы самое свежее урвать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #36, #56

4. Сообщение от Жироватт (ok), 13-Май-22, 10:48	–3 +/–
Признание виновными во всем и сразу русских хакеров через: 3... 2... 1... признано! Загрузка сообщений от прикормленных "экспердов" по безопасности - 32% завершено Создание медийного скандала с привлечением политики - 1% завершено. --- А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же? Нет, требую пояснительную бригаду в студию, какой в этом практический смысл?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #23

5. Сообщение от Аноним (5), 13-Май-22, 10:58	+2 +/–
>А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же? если внимательно подумать, то окажется что все системы управления пакетами так и работают - важно в первую очередь название пакета и его версия, а репозиторий как правило не указывается, хоть обычно и есть такая возможность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

6. Сообщение от Аноним (6), 13-Май-22, 10:59	+2 +/–
Судя по всему, это был пентестер, а подстановка была запланированной проверкой: On Wednesday, just hours before both JFrog and ReversingLabs posted blogs here and here, a penetration testing boutique named Code White took credit for the packages. “Tnx for your excellent analysis,” the firm said in a tweet that addressed Snyk and cited its blog post from last month. “And don't worry, the ‘malicious actor’ is one of our interns 😎 who was tasked to research dependency confusion as part of our continuous attack simulations for clients. To clarify your questions: we're trying to mimic realistic threat actors for dedicated clients as part of our Security Intelligence Service and we brought our ‘own’ package manager that supports yarn and npm.” Источник: https://arstechnica.com/information-technology/2022/05/backd.../
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

7. Сообщение от Аноним (7), 13-Май-22, 11:01	+/–
>обфусцированный Зачем? Снимается же тривиально.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 13-Май-22, 11:12	+/–
Так-то можно явно версию пакета указать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Ты (?), 13-Май-22, 11:19	+1 +/–
конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены будут либо делать свои версии нужного ПО, что приведёт к фрагментации, либо должны будут оплачивать аудит каждого нового тарбала. и даже в рамках одной организации может найтись шпион, который всроит бэкдор.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #14, #18, #20, #33

10. Сообщение от Жироватт (ok), 13-Май-22, 11:22	+2 +/–
В обслуживаемых специально обученными мейнтейнерами репозиториях, допустим, привязка пакета ААА к репозиторию bb или cc действительно нужна скорее для бэклога - узнать откуда установлен пакет. Другое дело, что ЕМНИП во всех виденных мной реализациях есть так или иначе механизм приоритета репозиториев и маскировок. Ну т.е. - при обновлении при одинаковом приоритете bb:AAA v0.1 до cc:AAA v0.2 обычно спрашивается, мол, стоит ли обновлять с заменой репов - если реп bb стоит по приоритету выше сс, то для обновления нужно специально указывать смену репа - если реп bb маскирует пересечение с сс, то пакет cc:ААА не будет виден за bb:AAA хоть там на десять мажорок выше версия. Все равно не понимаю, почему у паблик-помойки нету даже такого? Ну там хотя бы чтобы внутренние репы маскировали паблик, я не заикаюсь даже про веса приоритетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Ты (?), 13-Май-22, 11:23	–1 +/–
> конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены > будут либо делать свои версии нужного ПО, что приведёт к фрагментации, > либо должны будут оплачивать аудит каждого нового тарбала. и даже в > рамках одной организации может найтись шпион, который всроит бэкдор. и лёгким движением ноги, такие рапы как у питона, ноды, го, Dlang могут быть рассадником довольно просто
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

12. Сообщение от Аноним (12), 13-Май-22, 11:23	–7 +/–
Ядро линукс стало приложением?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27, #45

13. Сообщение от Аноним (12), 13-Май-22, 11:24	–1 +/–
Делайте сами, зачем вам эти пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от Жироватт (ok), 13-Май-22, 11:24	+2 +/–
Скорее приведет к патовой ситуции хакера и солонки. Ну и да, расширение круга недоверенных систем с сопутствующими механизмами и накладными расходами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Жироватт (ok), 13-Май-22, 11:25	+1 +/–
Не все пакеты содержат в себе лефтпады.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

17. Сообщение от Жироватт (ok), 13-Май-22, 11:30	+4 +/–
Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса. С другой стороны, в современном мире сказанное правильными людьми "Это не карманная кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными за руку, на ура срабатывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #19

18. Сообщение от Ты (?), 13-Май-22, 11:33	+1 +/–
> фирмы вынуждены будут либо делать свои версии нужного ПО объявляю 10 лет велосипедостроения! скорее всего всё так теперь и будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от Аноним (19), 13-Май-22, 11:40	+/–
> Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса. > С другой стороны, в современном мире сказанное правильными людьми "Это не карманная > кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными > за руку, на ура срабатывает. С другой стороны, опеннет без сравнения опы с пальцем и додумывания "как оно там все на самом деле" после чтения заголока - не опеннет. >> In a direct message, Code White CEO David Elze said the company intern created and posted the packages as part of a legitimate penetration-testing exercise explicitly authorized by the companies affected. >>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22

20. Сообщение от test (??), 13-Май-22, 11:53	+1 +/–
А в чем проблема ? Либо юзай и проверяй сам, либо плати за саппорт и поддержку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

21. Сообщение от Аноним (21), 13-Май-22, 11:53	+7 +/–
> ldtzstxwzpntxqn и lznfjbhurpjsqmr немецкая народная традиция - первой на клавиатуру кидают кошку, что получилось - так и называют пакет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #28

22. Сообщение от Жироватт (ok), 13-Май-22, 11:54	+2 +/–
> “We do not disclose the names of our clients but specifically, I can confirm that we're legally contracted by the affected companies and were acting on their behalf to simulate these realistic attack scenarios,” Elze said. ...или просто взял на себя ответственность, чтобы потушить никому не нужный скандал там, где раздувать его не захотели? Обычно, как замечено выше, в самой новости, такие proof-of помечаются в коде или безобидными заглушками, или специальными комментариями, но никак не обфусцированной малварью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (23), 13-Май-22, 12:15	+/–
Ты так говоришь как будто твои русские хакеры святые и непогрешимые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #29

24. Сообщение от Аноним (26), 13-Май-22, 12:15	+/–
> немецкая народная традиция шифровальная машина Энигма. Может, это шифротекст для агентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (23), 13-Май-22, 12:16	–3 +/–
Лефтпад не зловред это чисто чтобы ты бы в курсе, для твоего общего развития.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

26. Сообщение от Аноним (26), 13-Май-22, 12:18	+6 +/–
Он читает код хромиума перед установкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #39

27. Сообщение от Аноним (27), 13-Май-22, 12:23	+4 +/–
А что это? Чем является 30 мб блоб (3 мб в сжатом виде)? Это такая же компиляция софта как и что угодно ещё. Для сравнения, у хрома около-гигабайтный блоб. Хром -- приложение? Какого размера должен быть блоб, чтобы стать приложением?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

28. Сообщение от Анонзо (?), 13-Май-22, 12:23	+/–
Кошка постоянно приземляется сначала на клавишу l и делает после этого ещё 14 ударов по другим клавишам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30, #31

29. Сообщение от Аноним (29), 13-Май-22, 12:26	+3 +/–
Дадада, решили ломануть как раз те компании, которые решили остаться в России. А вообще, откуда в России хакеры? Там же только дикие russkies в ushankas с balalaikas.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #42

30. Сообщение от Аноним (26), 13-Май-22, 12:36	+1 +/–
> клавишу l I или l?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #32

31. Сообщение от Жироватт (ok), 13-Май-22, 12:39	+1 +/–
Ты бы поаккуратнее был бы, кошка только вчера получила звание штандартенфюрера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Аноним (27), 13-Май-22, 12:39	+/–
I в 2 раза жирнее l, не говоря уж о том, что на шрифтах с засечками они совсем разные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от arisu (ok), 13-Май-22, 12:53	+/–
> конец опенсорцу? кто теперь поверит честному слову? ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш код? шеф, всё пропало, код убирают, корпорасты убегают!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #40

34. Сообщение от Аноним (34), 13-Май-22, 12:59	+/–
Контекст дискуссии не зловред это чисто чтобы ты бы в курсе, для твоего общего развития. Но для одаренных: не все пакеты в пару строк, как leftpad, чтобы повально отказываться от всего и писать свои велосипеды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

35. Сообщение от YetAnotherOnanym (ok), 13-Май-22, 13:06	–1 +/–
> пакеты с теми же именами и более новыми номерами версий > пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет Любители обмазываться свеженьким должны страдать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

36. Сообщение от НяшМяш (ok), 13-Май-22, 13:11	–1 +/–
Чтобы так не подставляться, можно делать локальный форк со своим скоупом, например leftpad превращается в @vasyan/leftpad. И в локальном .npmrc можно вписать что-то типа @vasyan:registry=https://npm.pkg.github.com . Работает даже с приватными репозиториями, надо только auth token сгенерировать. Подменить имя гитхаб пользователя будет явно посложнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

37. Сообщение от Аноним (37), 13-Май-22, 14:33	+1 +/–
> Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов. Верим. Npm уже унизили все кто может.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

39. Сообщение от Гыгыгы (?), 13-Май-22, 15:20	+3 +/–
Дважды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #54

40. Сообщение от Ты (?), 13-Май-22, 15:39	+/–
>> конец опенсорцу? кто теперь поверит честному слову? > ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш > код? шеф, всё пропало, код убирают, корпорасты убегают! а свободным кодерам легче что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

41. Сообщение от Аноним (-), 13-Май-22, 15:40	–1 +/–
Я комиты между версиями читаю, как минимум в интересующих меня местах. А так там куча роботов, анализаторов, ревью при мерже несколькими мордами и все такое...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #48

42. Сообщение от Аноним (-), 13-Май-22, 15:42	–1 +/–
Даже орк может стрелять, не из лука как эльф так из арбалета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

43. Сообщение от Аноним (43), 13-Май-22, 15:47	+/–
Когда же наконец до людей начнет доходить важность умения написать код на стандартной библиотеке без использования сторонних фреймворков и библиотек?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #49

44. Сообщение от Аноним (44), 13-Май-22, 15:52	–1 +/–
>Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов. В ходе эксперимента были имитированы действия реальных злоумышленников для проверки эффективности работы внедрённых мер защиты. Что-то это напоминает "Рязанский сахар" 1999 г.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #50, #51

45. Сообщение от Аноним (-), 13-Май-22, 16:33	+/–
Нет, но вообще пробэкдорить кернел эффективнее чем приложения. Ведь оно все их запросы выполняет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

46. Сообщение от Аноним (46), 13-Май-22, 16:38	+1 +/–
Напомни кто за это заплатит? Если ты мне оплатишь я только за.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (46), 13-Май-22, 16:39	+/–
Пусть под одеялом имитирует имитатор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от Аноним (48), 13-Май-22, 17:59	+1 +/–
А там тысячи глаз™
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

49. Сообщение от b (?), 13-Май-22, 20:56	+1 +/–
Вот только пока ты будешь писать все потенциальные клиенты умрут от старости, а их останки начнут выставлять археологи в музеях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

50. Сообщение от b (?), 13-Май-22, 21:01	+/–
Это обычная практика аудита безопасности. Нанимается несколько комманд и они пытаются ломать (заранее предупретив узкий круг людей из руководства и ознакомив их с планом) компанию по всем областям - от социальной инженерии, цепочее доставок, сетей, до физического вламывания в серверную/офис. Полет фантазии ограничен только суммой вознаграждения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от Аноним (52), 13-Май-22, 23:11	+1 +/–
стопочку новичка этому товарищу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Аноним (52), 13-Май-22, 23:14	+/–
Как и любители засохшего
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

53. Сообщение от Аноним (52), 13-Май-22, 23:15	+/–
... а караван всё идёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

54. Сообщение от Аноним (54), 15-Май-22, 11:22	+/–
Дважды - чтобы во втором чтении внести правки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #55

55. Сообщение от Аноним (55), 15-Май-22, 12:24	+/–
А в третьем - отменить!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

56. Сообщение от другое Имя (?), 15-Май-22, 20:21	+/–
А как можно додуматься до функции json_last_error_msg() в PHP? Вот я думаю, что это всё какая-то определённая порода кодакОв (программистами их назвать ни в коем случае нельзя) придумывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

57. Сообщение от Аноним (57), 16-Май-22, 10:04	+/–
дырявее этой поделки только cargo.io от расторастов
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема