Azure-udviklere har været mål for en række ondsindede npm-angreb

Annonceindlæg fra Kommando

Identity: Kortere levetid på certifikater øger risikoen for nedbrud

Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

Microsoft Azure og dets brugere har været mål for angreb fra hackere, som benytter sig af såkaldte trick npm-pakker (Node Package Manager).

Pakkerne har til formål at stjæle personligt identificerbare oplysninger.

Det fremgår af undersøgelser fra selskabet JFrog, som arbejder med at bygge, teste og implementere software.

Læs også: Høj risiko ved piratkopiering: Ulovlige Microsoft-licenser spreder malware

The JFrog Security Research Team opdagede hundredvis af ondsindede npm-pakker ved at overvåge populære open source-software (OSS).

Selskabets overvågningsværktøjer begyndte tidligere på ugen at opfange ondsindede pakker i npm-registret. Siden er antallet af skadelige pakker steget voldsomt. I starten opdagede Jfrog 50, men seneste var tallet over 200.

Azure var målet

"Efter manuel inspektion af nogle af disse pakker, blev det klart, at dette var et målrettet angreb mod hele Azure npm-anvendelsesområdet af en angriber, der brugte et automatisk script til at oprette konti og uploade ondsindede pakker, der dækker hele dette anvendelsesområde. I øjeblikket var den observerede ondsindede nyttelast af disse pakker PII-tyve (Personlig identificerbar information)," fremgår det af JFrogs rapport.

Angrebene gik, ifølge selskabet efter alle npm-udviklere, som benytter Azure.

Angriberen har benyttet typosquatting, som er en type af angreb, hvor angriberen opretter elementer, der minder om det rigtige navn, men med mindre ændringer og herefter satser på, at ofrene læser forkert eller begår en tastefejl.

Læs også: Hackergruppen Lapsus$ lækker 37GB af Microsofts vigtige kildekode - se Microsofts gennemgang af gruppens angrebsmetode

I dette tilfælde opretter angriberen en ny ondsindet pakke med samme navn som en eksisterende Azure scope-pakke, men dropper scope-navnet og håber derefter på, at nogen bider på.

Ifølge mediet Winbuzzer benytter angriberen sig af automatiserede scripts til at oprette konti og uploade pakkerne.

Dette er ifølge JFrog sket mindst 218 gange. Selskabet har oprettet en liste med de registrerede angreb.

Læs også: 16-årig dreng kan være mastermind bag Lapsus$, der har hacket Microsoft, Nvidia og Samsung

JFrog rapporterer, at de ondsindede pakker, som er blevet opdaget, er blevet fjernet igen hurtigt, og at skaden er blevet holdt på et minimum.

"Heldigvis, da pakkerne blev opdaget og afsløret meget hurtigt (~2 dage efter de blev offentliggjort), ser det ud til, at de ikke blev installeret i stort antal," skriver JFrog. Winbuzzer skriver dog, at der stadig kan være flere opdagede ondsindede pakker, men lige nu er alt så vidt vides overstået.