Nhóm bảo mật npm hôm nay đã xóa một thư viện JavaScript độc hại khỏi trang web npm có chứa mã độc hại để mở các cửa hậu(backdoors) trên máy tính của developer

Thư viện JavaScript được đặt tên là ” twilio-npm ” và hành vi độc hại của nó đã được phát hiện vào cuối tuần qua bởi Sonatype, một công ty giám sát kho lưu trữ gói công khai như một phần của dịch vụ hoạt động bảo mật dành cho developer (DevSecOps).

Trong một  báo cáo được công bố hôm nay , Sonatype cho biết thư viện lần đầu tiên được xuất bản trên trang web npm vào thứ Sáu, được phát hiện vào cùng ngày và bị xóa hôm nay sau khi nhóm bảo mật npm đưa gói này vào danh sách đen.

Mặc dù có tuổi thọ ngắn trên cổng npm, thư viện đã được tải xuống hơn 370 lần và tự động được đưa vào các dự án JavaScript được xây dựng và quản lý thông qua  tiện ích dòng lệnh npm (Node Package Manager) .

Ax Sharma, nhà nghiên cứu bảo mật Sonatype, người đã phát hiện và phân tích thư viện, cho biết mã độc được tìm thấy trong thư viện Twilio giả mạo đã mở một trình bao ngược TCP trên tất cả các máy tính nơi thư viện được tải xuống và input vào bên trong các dự án JavaScript / npm / Node.js.

Trình đảo ngược đã mở một kết nối tới ” 4.tcp.ngrok [.] Io: 11425 ” từ nơi nó chờ nhận lệnh mới để chạy trên máy tính của người dùng bị nhiễm.

Sharma cho biết trình đảo ngược chỉ hoạt động trên các hệ điều hành dựa trên UNIX.

CÁC NHÀ PHÁT TRIỂN ĐÃ YÊU CẦU THAY ĐỔI THÔNG TIN ĐĂNG NHẬP, BÍ MẬT, KHÓA

Nhóm bảo mật npm cho biết hôm nay , xác nhận cuộc điều tra của Sonatype : “Bất kỳ máy tính nào đã cài đặt hoặc đang chạy gói này đều bị coi là bị xâm phạm hoàn toàn.

“Tất cả các bí mật và khóa được lưu trữ trên máy tính đó nên được đổi hoặc di chuyển ngay lập tức từ một máy tính khác”, nhóm npm nói thêm.

Điều này đánh dấu lần gỡ xuống lớn thứ tư của gói npm độc hại trong ba tháng qua.

-->

Vào cuối tháng 8, nhân viên npm đã xóa một thư viện npm (JavaScript) độc hại được thiết kế để  lấy cắp các tệp nhạy cảm từ trình duyệt và ứng dụng Discord của người dùng bị nhiễm .

Vào tháng 9, nhân viên của npm đã xóa bốn thư viện npm (JavaScript) để thu thập thông tin chi tiết của người dùng và  tải dữ liệu bị đánh cắp lên trang GitHub công khai .

Vào tháng 10, nhóm npm đã loại bỏ ba gói npm (JavaScript) cũng  bị bắt gặp khi mở các trình bao ngược (backdoor) trên máy tính của nhà phát triển . Ba gói cũng được phát hiện bởi Sonatype. Không giống như cái được phát hiện vào cuối tuần trước, ba cái này cũng hoạt động trên hệ thống Windows chứ không chỉ các hệ thống giống UNIX.

Các nguồn kiến thức từ cafedev:

Nếu bạn thấy hay và hữu ích, bạn có thể tham gia các kênh sau của cafedev để nhận được nhiều hơn nữa:

Chào thân ái và quyết thắng!

Đăng ký kênh youtube để ủng hộ Cafedev nha các bạn, Thanks you!