Snyk identificeert cyberaanval als protest tegen de crisis in Oekraïne

De aanval creëert een bestand met een anti-oorlogsboodschap en introduceert securitylekken

| Snyk | 2 min | 23 maart 2022 11:03
Copyright: Snyk
Op 15 maart werd, als protest tegen de crisis in Oekraïne, een aanval op de supply chain gecreëerd, gericht op gebruikers van het populaire JavaScript front-end ontwikkelings-framework Vue.js en de Unity Hub. De aanval creëert een bestand met een anti-oorlogsboodschap en introduceert securitylekken waarbij de inhoud van eerdere versies van gebruikersbestanden, afkomstig uit Rusland en Wit-Rusland, vervangen worden door gele en blauwe hart-emojis.

Dit was het resultaat van het knoeien met de nested dependencies van het framework, node-ipc en peacenotwar, door de onderhouder van node-ipc, Brandon Nozaki Miller, ook bekend als ‘RIAEvangelist’. Nested dependencies zijn additionele pakketten waar stukken software van afhankelijk zijn en deze worden automatisch gedownload. Het gebruik van dependencies is een heel normaal onderdeel van de manier waarop open source-toepassingen en -tools werken, maar het is er wel één die kan worden uitgebuit om kwetsbaarheden te introduceren op de apparaten van nietsvermoedende gebruikers.

Liran Tal, directeur Developer Advocacy bij Snyk, zei: "Hoewel we er fel op tegen zijn wat er in Oekraïne gebeurt, ondermijnt opzettelijke sabotage zoals deze de wereldwijde open source-gemeenschap. De impact van security-incidenten in de supply chain blijft aantonen dat het noodzakelijk is om de risico's met open source-dependencies goed te beheren en er snel op te reageren."

Verloop van de aanval

Het verhaal van deze aanval toont de potentieel zeer ontwrichtende en effectieve impact die aanvallen op de supply chain kunnen hebben. Op 8 maart werd het pakket peacenotwar gepubliceerd op npm, een centrale repository voor JavaScript-ontwikkelaars. Het pakket was ontworpen om simpelweg een anti-oorlogsboodschap te tonen op de desktops van gebruikers. Op zichzelf had het weinig impact en weinig downloads.

Dat veranderde dramatisch op 15 maart, toen de onderhouder, RIAEvangelist, peacenotwar als een dependency toevoegde aan een ander pakket waar hij controle over had, node-ipc. Node-ipc is een zeer populaire communicatiemodule die gebruikt wordt - en automatisch gedownload wordt - door vele andere populaire pakketten, waaronder Vue.js, en specifiek zijn command line tool, Vue.js CLI via zijn pakket @vue/cli. De release voegt ook expliciet een dependency toe van colors@* die opzettelijk kwetsbare broncode binnenhaalt, als gevolg van de acties van een andere kwaadaardige maintainer.

Liran Tal concludeert: "Om te zorgen dat toekomstige code-updates gebruikers niet in gevaar kunnen brengen, raden we aan om het node-ipc npm-pakket volledig te vermijden. Als dit npm pakket gebundeld is in je project als onderdeel van de applicatie die je bouwt, dan raden we je aan om de npm package managers functie te gebruiken om de gesaboteerde versies helemaal te overschrijven en de transitieve dependency vast te pinnen op known good."

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Snyk
Snyk is een DevOps-first securitybedrijf dat organisaties helpt om open source veilig te gebruiken. Snyk is de enige oplossing die naadloos en proactief kwetsbaarheden en licentie-inbreuken in open source dependencies en container images vindt en herstelt. De oplossing van Snyk is gebouwd op een uitgebreide, eigen database met kwetsbaarheden, die wordt onderhouden door een gespecialiseerd researchteam in Israël en Londen. Dankzij de nauwe integratie in bestaande DevOps-workflows, broncontrole (inclusief GitHub, Bitbucket, GitLab) en CI/CD-pipelines, maakt Snyk efficiënte beveiligingsworkflows mogelijk en wordt de mean-time-to-fix gereduceerd.
Meer over Snyk
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.