Bagdør til webservere forsøgt distribueret via javascript-registret NPM

Organisationen bag NPM har opdaget kode i javascript-registret, der gør det muligt at eksekvere vilkårlige kommandoer på en webserver.

Der et modul med ondsindet kode op i javascript-registret Node Package Manager (NPM). Det oplyser sikkerhedsingeniør ved NPM Adam Baldwin i et blogindlæg, som The Register har opdaget.

NPM gør det muligt for javascript-udviklere på eksempelvis Node.js-platformen, at søge i og bruge kodestumper, som andre har lavet. Og her er det lykkedes en udvikler at snige et softwaremodul ind på NPM kaldet getcookies, som har vist sig at indeholde en potentiel bagdør.

Modulet med den ondsindede funktionalitet har været en forudsætning for (eng. dependency) to andre moduler, express-cookies og http-fetch-cookies. Det har derudover vist sig, at nogle versioner af en populær pakke kaldet mailparser, har været afhængig af http-fetch-cookies.

Heldigvis skulle mailparser ikke anvendt det ondsindede software-modul på en måde, så bagdøren har været aktiv. Desuden har NPM ikke identificeret andre, offentliggjorte softwarepakker, der har anvendt den ondsindede kode på en måde, så bagdøren har været aktiv.

Folkene ved NPM gætter på, at det kan have været planen at aktivere den ondsindede funktionalitet i mailparser ved senere lejlighed.

Lytter efter kontrolkoder

Af blogindlægget fra Baldwin fremgår det, at bagdøren er lavet til at lytte efter særlige kontrolkoder sendt til en webserver, der anvender koden.

Kontrolkoderne vil - i fald bagdøren er aktiveret - gøre det muligt at afvikle vilkårlig kode på en inficeret webserver.

NPM har nu fjernet getcookies, express-cookies og http-fetch-cookies. Brugeren bag pakkerne, en dustin87, er også blevet slettet. Hvad brugeren angår, så har NPM via reverse-image-search fundet frem til, at billedet knyttet til brugerprofilen var et stock-foto.

Derudover er tre versioner af mailparser blevet fjernet. Det drejer sig om 2.2.3, 2.2.2 og 2.2.1, som alle har været afhængige af http-fetch-cookies.

Endeligt så er npm-tokens tilhørende den oprindelige forfatter af mailparser blevet nulstillede for at forhindre yderligere uautoriserede kode-offentliggørelse.

Overfor The Register gætter Baldwin på, at en angriber har fået fat adgangsoplysninger til mailparser, som så er blevet brugt til at offentliggøre potentielt skadelige udgaver af programmet, som har været afhængige af http-fetch-cookies.

Af The Registers udlægning af sagen fremgår det også, at angriberen har forsøgt at få de ondsindede software-pakker til at virke tilstrækkeligt populære, så udviklere ville bruge den i Express.js - et populært javascript-framework til at lave web-applikationer med.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere