Artikel top billede

(Foto: Computerworld)

Azure-udviklere har været mål for en række ondsindede npm-angreb

Azure-systemet har været under angreb af npm-pakker, som indeholder malware med det formål at stjæle personligt identificerbare oplysninger fra brugerfladen.

Microsoft Azure og dets brugere har været mål for angreb fra hackere, som benytter sig af såkaldte trick npm-pakker (Node Package Manager).

Pakkerne har til formål at stjæle personligt identificerbare oplysninger.

Det fremgår af undersøgelser fra selskabet JFrog, som arbejder med at bygge, teste og implementere software.

The JFrog Security Research Team opdagede hundredvis af ondsindede npm-pakker ved at overvåge populære open source-software (OSS).

Selskabets overvågningsværktøjer begyndte tidligere på ugen at opfange ondsindede pakker i npm-registret. Siden er antallet af skadelige pakker steget voldsomt. I starten opdagede Jfrog 50, men seneste var tallet over 200.

Azure var målet

"Efter manuel inspektion af nogle af disse pakker, blev det klart, at dette var et målrettet angreb mod hele Azure npm-anvendelsesområdet af en angriber, der brugte et automatisk script til at oprette konti og uploade ondsindede pakker, der dækker hele dette anvendelsesområde. I øjeblikket var den observerede ondsindede nyttelast af disse pakker PII-tyve (Personlig identificerbar information)," fremgår det af JFrogs rapport.

Angrebene gik, ifølge selskabet efter alle npm-udviklere, som benytter Azure.

Angriberen har benyttet typosquatting, som er en type af angreb, hvor angriberen opretter elementer, der minder om det rigtige navn, men med mindre ændringer og herefter satser på, at ofrene læser forkert eller begår en tastefejl.

I dette tilfælde opretter angriberen en ny ondsindet pakke med samme navn som en eksisterende Azure scope-pakke, men dropper scope-navnet og håber derefter på, at nogen bider på.

Ifølge mediet Winbuzzer benytter angriberen sig af automatiserede scripts til at oprette konti og uploade pakkerne.

Dette er ifølge JFrog sket mindst 218 gange. Selskabet har oprettet en liste med de registrerede angreb.

JFrog rapporterer, at de ondsindede pakker, som er blevet opdaget, er blevet fjernet igen hurtigt, og at skaden er blevet holdt på et minimum.

"Heldigvis, da pakkerne blev opdaget og afsløret meget hurtigt (~2 dage efter de blev offentliggjort), ser det ud til, at de ikke blev installeret i stort antal," skriver JFrog. Winbuzzer skriver dog, at der stadig kan være flere opdagede ondsindede pakker, men lige nu er alt så vidt vides overstået.



CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?