Bagdør til webservere forsøgt distribueret via javascript-registret NPM
Der et modul med ondsindet kode op i javascript-registret Node Package Manager (NPM). Det oplyser sikkerhedsingeniør ved NPM Adam Baldwin i et blogindlæg, som The Register har opdaget.
NPM gør det muligt for javascript-udviklere på eksempelvis Node.js-platformen, at søge i og bruge kodestumper, som andre har lavet. Og her er det lykkedes en udvikler at snige et softwaremodul ind på NPM kaldet getcookies, som har vist sig at indeholde en potentiel bagdør.
Modulet med den ondsindede funktionalitet har været en forudsætning for (eng. dependency) to andre moduler, express-cookies og http-fetch-cookies. Det har derudover vist sig, at nogle versioner af en populær pakke kaldet mailparser, har været afhængig af http-fetch-cookies.
Heldigvis skulle mailparser ikke anvendt det ondsindede software-modul på en måde, så bagdøren har været aktiv. Desuden har NPM ikke identificeret andre, offentliggjorte softwarepakker, der har anvendt den ondsindede kode på en måde, så bagdøren har været aktiv.
Folkene ved NPM gætter på, at det kan have været planen at aktivere den ondsindede funktionalitet i mailparser ved senere lejlighed.
Lytter efter kontrolkoder
Af blogindlægget fra Baldwin fremgår det, at bagdøren er lavet til at lytte efter særlige kontrolkoder sendt til en webserver, der anvender koden.
Kontrolkoderne vil - i fald bagdøren er aktiveret - gøre det muligt at afvikle vilkårlig kode på en inficeret webserver.
NPM har nu fjernet getcookies, express-cookies og http-fetch-cookies. Brugeren bag pakkerne, en dustin87, er også blevet slettet. Hvad brugeren angår, så har NPM via reverse-image-search fundet frem til, at billedet knyttet til brugerprofilen var et stock-foto.
Derudover er tre versioner af mailparser blevet fjernet. Det drejer sig om 2.2.3, 2.2.2 og 2.2.1, som alle har været afhængige af http-fetch-cookies.
Endeligt så er npm-tokens tilhørende den oprindelige forfatter af mailparser blevet nulstillede for at forhindre yderligere uautoriserede kode-offentliggørelse.
Overfor The Register gætter Baldwin på, at en angriber har fået fat adgangsoplysninger til mailparser, som så er blevet brugt til at offentliggøre potentielt skadelige udgaver af programmet, som har været afhængige af http-fetch-cookies.
Af The Registers udlægning af sagen fremgår det også, at angriberen har forsøgt at få de ondsindede software-pakker til at virke tilstrækkeligt populære, så udviklere ville bruge den i Express.js - et populært javascript-framework til at lave web-applikationer med.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
