Rspack geliştiricileri, npm paketlerinden ikisinin, @rspack/core Ve @rspack/clikötü niyetli bir aktörün, kripto para birimi madenciliği kötü amaçlı yazılımıyla birlikte resmi paket kayıt defterinde kötü amaçlı sürümler yayınlamasına olanak tanıyan bir yazılım tedarik zinciri saldırısında ele geçirildi.
Aşağıdakileri takip ediyorum keşifher iki kitaplığın 1.1.7 sürümleri npm kayıt defterinde yayından kaldırıldı. En son güvenli sürüm 1.1.8’dir.
Yazılım tedarik zinciri güvenlik firması Socket, “Bunlar, yetkisiz npm yayınlama erişimi elde eden bir saldırgan tarafından serbest bırakıldı ve kötü amaçlı komut dosyaları içeriyor” dedi. söz konusu bir analizde.
RSpack alternatif olarak faturalandırılır web paketi“Rust’ta yazılmış yüksek performanslı bir JavaScript paketleyicisi” sunuyor. Başlangıçta ByteDance tarafından geliştirilen bu özellik, o zamandan beri Alibaba, Amazon, Discord ve Microsoft gibi birçok şirket tarafından benimsendi.
Söz konusu npm paketleri, @rspack/core ve @rspack/cli, haftalık olarak sırasıyla 300.000 ve 145.000’in üzerinde indirilme sayısına ulaşıyor ve bu da popülerliklerinin bir göstergesi.
İki kütüphanenin hileli versiyonlarının analizi, uzak bir sunucuya çağrı yapmak için kod içerdiklerini ortaya çıkardı (“80.78.28”)[.]Bulut hizmeti kimlik bilgileri gibi hassas yapılandırma ayrıntılarını iletmek ve aynı zamanda “ipinfo”ya bir HTTP GET isteği yaparak IP adresi ve konum ayrıntılarını toplamak için 72″)[.]io/json.”
İlginç bir şekilde, saldırı aynı zamanda enfeksiyonu Çin, Rusya, Hong Kong, Beyaz Rusya ve İran gibi belirli ülkelerde bulunan makinelerle de sınırlandırıyor.
Saldırıların nihai hedefi, “package.json” dosyasında belirtilen bir kurulum sonrası komut dosyası aracılığıyla paketlerin kurulumu üzerine XMRig kripto para madencisinin güvenliği ihlal edilmiş Linux ana bilgisayarlarına indirilmesini ve çalıştırılmasını tetiklemektir.
Socket, “Kötü amaçlı yazılım, paket yüklendiğinde otomatik olarak çalışan kurulum sonrası komut dosyası aracılığıyla çalıştırılıyor” dedi. “Bu, kötü amaçlı yükün herhangi bir kullanıcı eylemi olmadan yürütülmesini ve kendisini hedef ortama yerleştirmesini sağlar.”
Proje sorumluları, iki paketin kötü amaçlı kod içermeyen yeni bir sürümünü yayınlamanın yanı sıra, mevcut tüm npm token’larını ve GitHub token’larını geçersiz kıldıklarını, depo ve npm paketlerinin izinlerini kontrol ettiklerini ve kaynak kodunu olası güvenlik açıklarına karşı denetlediklerini söyledi. Token hırsızlığının temel nedenine ilişkin soruşturma sürüyor.
Socket, “Bu saldırı, paket yöneticilerinin, geliştiricileri korumak için, doğrulanmamış sürümlere güncellemeyi önlemek amacıyla doğrulama kontrollerini zorunlu kılmak gibi daha katı güvenlik önlemleri alma ihtiyacını vurguluyor” dedi. “Fakat tamamen kurşun geçirmez değil.”
“Python ekosistemindeki son Ultralytics tedarik zinciri saldırısında görüldüğü gibi, saldırganlar önbellek zehirlenmesi yoluyla GitHub Eylemlerini tehlikeye atarak yine de onaylı sürümleri yayınlayabilir.”
