Waspada, RED-LILI Telah Mendistribusikan Lebih dari 800 Paket NPM Berbahaya

Mark Teknologi
Mark Teknologi
November 30, 2023

800 Paket NPM Berbahaya

Dengan mendistribusikan lebih dari 800 paket NPM berbahaya, aktor ancaman yang dikenal sebagai "RED-LILI" telah dikaitkan dengan operasi penyerangan rantai pasokan skala besar yang sedang berlangsung yang menargetkan repositori paket NPM.


"Biasanya, penyerang memulai serangan mereka melalui akun NPM tanpa nama," menurut perusahaan keamanan Israel Checkmarx. "Tampaknya penyerang telah sepenuhnya mengotomatiskan proses pembuatan akun NPM kali ini dan telah membuat akun khusus, satu per paket, membuat kumpulan paket berbahaya barunya lebih sulit untuk dideteksi."


Hasil memperluas penyelidikan terbaru dari JFrog dan Sonatype, yang telah menggambarkan ratusan paket NPM yang menargetkan pengembang Azure, Uber, dan Airbnb menggunakan strategi seperti kebingungan ketergantungan dan kesalahan ketik.


Menurut pemeriksaan komprehensif operasi RED, tanda-tanda pertama aktivitas menyimpang LILI diyakini telah terjadi pada 23 Februari 2022, dengan sekelompok paket berbahaya disebarluaskan dan "meledak" selama seminggu.


Checkmarx mendefinisikan metode otomatis untuk mengunggah perpustakaan nakal ke NPM sebagai "pabrik", yang memerlukan penggunaan kombinasi kode Python yang dipesan lebih dahulu dan alat pengujian web seperti Selenium untuk meniru aktivitas pengguna yang diperlukan untuk mereproduksi proses pembuatan pengguna di registri.


313 Paket NPM Berbahaya Ditemukan


Untuk menyiasati verifikasi kata sandi satu kali (OTP) NPM, penyerang menggunakan aplikasi sumber terbuka bernama Interactsh untuk mengekstrak OTP yang dikirimkan oleh server NPM ke alamat email yang diberikan saat mendaftar, memungkinkan permintaan pembuatan akun untuk dilanjutkan.


Berbekal akun pengguna NPM baru yang baru ini, pelaku ancaman melanjutkan untuk mengembangkan dan menerbitkan paket berbahaya, satu per akun, dalam metode otomatis, tetapi tidak sebelum menghasilkan token akses yang memungkinkan paket tersebut dipublikasikan tanpa memerlukan tantangan OTP email .


"Ketika penyerang rantai pasokan mengembangkan kemampuan mereka dan membuat hidup lebih sulit bagi pembela mereka, serangan ini merupakan tonggak lain dalam perkembangan mereka," kata para peneliti. "Dengan menyebarkan paket di antara beberapa nama pengguna, penyerang mempersulit pembela untuk menghubungkan [dan] menjatuhkan semuanya dengan 'satu pukulan', meningkatkan kemungkinan infeksi."