Tim Node Package Manager (npm) menghindari bencana hari ini ketika ia menemukan dan memblokir distribusi mekanisme backdoor yang tersembunyi secara cerdas di dalam paket npm JavaScript yang populer – meskipun tidak digunakan lagi.
Mekanisme backdoor yang sebenarnya ditemukan di “getcookies,” paket npm yang relatif baru dibuat (library JavaScript) untuk bekerja dengan cookie browser.
Tim npm mengatakan “getcookies” berisi sistem yang kompleks untuk menerima perintah dari penyerang secara remote, yang dapat menargetkan aplikasi JavaScript apa pun yang telah memasukkan library ini. Tim npm menjelaskan:
“Backdoor bekerja dengan mengurai request.headers HTTP yang disediakan pengguna, mencari data yang diformat khusus yang menyediakan tiga perintah berbeda ke backdoor.
[…]
Kita dapat melihat di sini bahwa header-string tersebut dirangkum dan hasilnya mencari nilai dalam format: gCOMMANDhDATAi“
Menurut tim npm, backdoor “memungkinkan penyerang untuk memasukkan kode arbitrer ke dalam server yang sedang berjalan dan menjalankannya.”
Modul backdoor asli diimpor dalam paket lain
Tetapi tidak berakhir di sini. Library “getcookies” baru dan tidak populer, terdapat dalam beberapa proyek.
Tim npm mengatakan menemukan rantai ketergantungan bersarang di mana paket “getcookies” secara tidak langsung telah membuatnya menjadi struktur perpustakaan yang sangat populer yang disebut “Mailparser.”
mailparser
└── http-fetch-cookies
└── express-cookies
└──getcookiesMailparser adalah paket npm untuk menguraikan data email menggunakan JavaScript. Ini adalah library lama, dan library yang sudah ditinggalkan untuk mendukung yang lebih baru bernama “Nodemailer.”
Namun meskipun ditinggalkan, library masih diterbitkan dari indeks paket npm, karena ada aplikasi lama yang masih menggunakannya dalam rantai build mereka. Pada saat penulisan, halaman npm Mailparser terdaftar lebih dari 66.000 unduhan mingguan.
Tidak ada serangan yang dilaporkan
“Kami berspekulasi bahwa mailparser yang membutuhkan http-fetch-cookies adalah untuk melakukan serangan di masa mendatang atau untuk meningkatkan jumlah unduhan cookie-express untuk menambah legitimasi,” kata tim npm hari ini dalam laporan tanggapan insiden.
Peneliti juga mengatakan bahwa tidak ada serangan untuk mengeksploitasi backdoor yang tampaknya telah terjadi karena “tidak ada paket yang diterbitkan ke Registry npm yang menggunakan modul berbahaya dengan cara yang akan memungkinkan backdoor dipicu.”
Pengurus indeks NPM tampaknya telah menangkap serangan rantai pasokan sebelum terjadi serangan di masa mendatang. Tim npm juga telah menghapus pengguna “dustin87” yang ada di belakang serangan dan tidak menerbitkan paket-paket getcookies, cookies-express, dan paket-cookie-fetch-cookies.
Mereka juga menggulirkan Mailparser ke v2.2.0, menghapus tiga versi (2.2.3, 2.2.2, dan 2.2.1) yang berisi paket berbahaya http-fetch-cookies.
