Zelfreplicerende worm aanwezig in tienduizenden malafide npm-packages

[Captain Kirk]

Tienduizenden malafide npm-packages zijn verspreid die een zelfreplicerende worm bevatten. De packages zijn allen voorzien van een naam gerelateerd aan Indonesisch eten, en wordt daarom ook wel de IndonesianFoods-worm genoemd.

De worm is ontwikkeld om zichzelf automatisch via npm-packages verder te verspreiden, waarschuwt SourceCodeRed. De malware genereert hierbij een willekeurige naam, past package.json-bestanden aan en voegt aan zijn bestandsnaam een willekeurig versienummer toe. Vervolgens publiceert de worm de package. SourceCodeRed wijst op 43.900 packages die de worm bevatten, die zijn gepubliceerd met behulp van 11 verschillende accounts. JFrog wijst zelfs op meer dan 80.000 varianten verspreid vanaf 18 gebruikersaccounts.

Deze werkwijze wordt continu herhaald, waardoor het aantal malafide npm-packages dat de worm bevat snel groeit. Ongeveer iedere zeven seconden wordt een nieuwe package gepubliceerd, waardoor de npm-registry wordt overspoeld met malafide packages. De worm is hierdoor breed verspreid, wat het risico vergroot dat een ontwikkelaar een van de malafide packages per ongeluk installeert en de worm zijn weg weet te vinden naar legitieme software.

Het doel van de campagne is vooralsnog onduidelijk. JFrog waarschuwt dat het echter om een proef kan gaan voor een latere campagne waarbij dezelfde infrastructuur wordt gebruikt voor het afleveren van schadelijke payloads.

 

bron: https://www.security.nl