NCSC waarschuwt voor gehackte npm- en Python-packages en roept op tot actie

[Captain Kirk]

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt softwareontwikkelaars voor gehackte npm- en Python-packages en roept op tot actie. De afgelopen dagen wisten aanvallers meerdere npm-packages te compromitteren en te voorzien van malware. Het ging onder andere om vulnerability scanner Trivy en HTTP library Axios. De malware in deze gehackte packages zorgt ervoor dat aanvallers inloggegevens en andere secrets van getroffen ontwikkelaars en hun systemen in handen krijgen.

"Als jouw organisatie software ontwikkelt waarin een gecompromitteerd npm- of Python-package wordt gebruikt, hebben de kwaadwillenden toegang tot authenticatiegegevens gekregen. Via deze gegevens krijgen de kwaadwillenden toegang tot andere (ontwikkel)omgevingen of systemen op je netwerk. Ook eindgebruikers van je software lopen een reëel risico, bijvoorbeeld doordat backdoors van de kwaadwillenden in je software terecht zijn gekomen", zo waarschuwt het NCSC.

De overheidsdienst zegt dat het aanwijzingen heeft gekregen dat de aanvallers verkregen toegang tot gehackte systemen gebruiken voor het stelen van data en afpersen van getroffen organisaties. "Waarbij ze bijvoorbeeld dreigen om de buitgemaakte data op het internet te publiceren wanneer niet aan een losgeldeis wordt voldaan. Ook is het mogelijk dat buitgemaakte data aan andere cybercriminelen wordt doorverkocht, die de daarin aanwezige credentials vervolgens voor hun eigen vervolgaanvallen misbruiken."

Volgens het NCSC is het belangrijk dat softwareontwikkelaars en organisaties die npm of Python-packages van derden gebruiken actie ondernemen. Zo wordt aangeraden om te controleren of de ontwikkelomgeving is gecompromitteerd en een incidentresponsproces te starten als dit het geval is. Daarnaast worden maatregelen geadviseerd om dit soort incidenten te voorkomen, zoals het gebruik van versiepinning wanneer software van externe libraries gebruikmaakt, het toepassen van een dependancy cooldown-periode, uitschakelen van postinstall-scripts en implementeren van npm Trusted Publishing via OpenID Connect (OIDC), in plaats van een vast 'NPM_TOKEN'. Dit voorkomt dat een 'langlevend' publish-token kan worden gestolen of misbruikt.

 

bron: https://www.security.nl