قام ممثلو التهديد بإغراق مستودع الحزمة مفتوح المصدر npm لـ Node.js بحزم زائفة أدت لفترة وجيزة إلى هجوم رفض الخدمة (DoS).
وقال جوزيف هاروش قدوري من Checkmarx في تقرير نُشر الأسبوع الماضي: "ينشئ المهاجمون مواقع ويب خبيثة وينشرون حزمًا فارغة تحتوي على روابط لتلك المواقع الضارة ، مستغلين سمعة النظم البيئية مفتوحة المصدر الجيدة على محركات البحث".
"تسببت الهجمات في رفض الخدمة (DoS) الذي جعل NPM غير مستقر مع وجود أخطاء متفرقة" الخدمة غير متوفرة "."
تستفيد تقنية الهجوم من حقيقة أن المستودعات مفتوحة المصدر تحتل مرتبة أعلى في نتائج محرك البحث لإنشاء مواقع ويب شريرة وتحميل وحدات npm فارغة مع روابط لتلك المواقع في ملفات README.md.
وأوضح هارش قدوري: "نظرًا لأن النظم الإيكولوجية مفتوحة المصدر تحظى بسمعة طيبة على محركات البحث ، فإن أي حزم جديدة مفتوحة المصدر وأوصافها ترث هذه السمعة الطيبة وتصبح مفهرسة جيدًا على محركات البحث ، مما يجعلها أكثر وضوحًا للمستخدمين المطمئنين".
نظرًا لأن العملية برمتها تلقائية ، أدى الحمل الناتج عن نشر العديد من الحزم إلى مواجهة NPM بشكل متقطع لمشكلات الاستقرار في نهاية مارس 2023.
يشير Checkmarx إلى أنه في حين قد يكون هناك عدة جهات فاعلة وراء هذا النشاط ، فإن الهدف النهائي هو إصابة نظام الضحية ببرامج ضارة مثل RedLine Stealer و Glupteba و SmokeLoader و cryptocurrency miners.
تأخذ الروابط الأخرى المستخدمين عبر سلسلة من الصفحات الوسيطة التي تؤدي في النهاية إلى مواقع التجارة الإلكترونية الشرعية مثل AliExpress مع معرفات الإحالة ، مما يكسب الممثلين ربحًا عندما تقوم الضحية بعملية شراء على النظام الأساسي. تستلزم الفئة الثالثة دعوة المستخدمين الروس للانضمام إلى قناة Telegram المتخصصة في العملات المشفرة.
قال هاروش قدوري: "لا تزال المعركة ضد جهات التهديد التي تسمم نظامنا الإيكولوجي لسلسلة توريد البرمجيات تشكل تحديًا ، حيث يتكيف المهاجمون باستمرار ويفاجئون الصناعة بتقنيات جديدة وغير متوقعة".
لمنع مثل هذه الحملات الآلية ، أوصت Checmarx npm لدمج تقنيات مكافحة الروبوت أثناء إنشاء حساب المستخدم.