Haftalık 3,5 milyondan fazla indirmeye sahip popüler bir npm paketi, bir hesap ele geçirme saldırısına karşı savunmasız bulundu.
Yazılım tedarik zinciri güvenlik şirketi Illustria bir raporda, “Paket, bakımcılarından biri için süresi dolmuş bir alan adını kurtararak ve parolayı sıfırlayarak devralınabilir.” Dedi.
npm’nin güvenlik korumaları, kullanıcıların hesap başına yalnızca bir etkin e-posta adresine sahip olmasını sınırlarken, İsrailli firma, kurtarılan etki alanını kullanarak GitHub şifresini sıfırlayabildiğini söyledi.
Saldırı, kısaca, bir tehdit aktörüne paketin ilişkili GitHub hesabına erişim izni vererek, npm kayıt defterinde geniş ölçekte tedarik zinciri saldırıları gerçekleştirmek için silah haline getirilebilecek trojenleştirilmiş sürümleri yayınlamayı etkili bir şekilde mümkün kılıyor.
Bu, yeni kod değişiklikleri gönderildiğinde paketleri otomatik olarak yayınlamak üzere havuzda yapılandırılmış bir GitHub İşleminden yararlanılarak elde edilir.
“Sürdürücünün npm kullanıcı hesabı, [two-factor authentication]Illustria’nın kurucu ortağı ve CTO’su Bogdan Kortnov, “Bu otomasyon belirteci onu atlıyor” dedi.
Illustria, modülün adını açıklamadı, ancak o zamandan beri hesabı güvence altına almak için adımlar atan sahibine ulaştığını kaydetti.
Bu, son yıllarda geliştirici hesaplarının devralmalara karşı savunmasız olduğu ilk kez değil. Mayıs 2022’de bir tehdit aktörü, hesabın kontrolünü ele geçirmek için bakımcı tarafından ctx Python paketiyle ilişkili olarak kullanılan süresi dolmuş bir etki alanını kaydetti ve kötü amaçlı bir sürüm dağıttı.