Los desarrolladores de Rspack han revelado que dos de sus paquetes npm, @rspack/núcleo y @rspack/clise vieron comprometidos en un ataque a la cadena de suministro de software que permitió a un actor malintencionado publicar versiones maliciosas en el registro oficial de paquetes con malware de minería de criptomonedas.
Siguiendo el descubrimientolas versiones 1.1.7 de ambas bibliotecas no se publicaron del registro npm. La última versión segura es 1.1.8.
“Fueron liberados por un atacante que obtuvo acceso de publicación no autorizado a npm y contienen scripts maliciosos”, dijo la firma de seguridad de la cadena de suministro de software Socket. dicho en un análisis.
Rspack se presenta como una alternativa a la paquete webque ofrece un “paquete de JavaScript de alto rendimiento escrito en Rust”. Desarrollado originalmente por ByteDance, desde entonces ha sido adoptado por varias empresas como Alibaba, Amazon, Discord y Microsoft, entre otras.
Los paquetes npm en cuestión, @rspack/core y @rspack/cli, atraen descargas semanales de más de 300.000 y 145.000, respectivamente, lo que indica su popularidad.
Un análisis de las versiones fraudulentas de las dos bibliotecas ha revelado que incorporan código para realizar llamadas a un servidor remoto (“80.78.28[.]72”) para transmitir detalles de configuración confidenciales, como credenciales de servicio en la nube, y al mismo tiempo recopilar detalles de dirección IP y ubicación realizando una solicitud HTTP GET a “ipinfo[.]io/json.”
En un giro interesante, el ataque también limita la infección a máquinas ubicadas en un conjunto específico de países, como China, Rusia, Hong Kong, Bielorrusia e Irán.
El objetivo final de los ataques es desencadenar la descarga y ejecución de un minero de criptomonedas XMRig en hosts Linux comprometidos tras la instalación de los paquetes mediante un script posterior a la instalación especificado en el archivo “package.json”.
“El malware se ejecuta a través del script postinstalación, que se ejecuta automáticamente cuando se instala el paquete”, dijo Socket. “Esto garantiza que la carga maliciosa se ejecute sin ninguna acción del usuario, incrustándose en el entorno de destino”.
Además de publicar una nueva versión de los dos paquetes sin el código malicioso, los mantenedores del proyecto dijeron que invalidaron todos los tokens npm y GitHub existentes, verificaron los permisos del repositorio y los paquetes npm y auditaron el código fuente para detectar posibles vulnerabilidades. Se está llevando a cabo una investigación sobre la causa fundamental del robo de fichas.
“Este ataque resalta la necesidad de que los administradores de paquetes adopten medidas de seguridad más estrictas para proteger a los desarrolladores, como hacer cumplir las comprobaciones de certificación, para evitar la actualización a versiones no verificadas”, dijo Socket. “Pero no es totalmente a prueba de balas”.
“Como se vio en el reciente ataque a la cadena de suministro de Ultralytics en el ecosistema Python, los atacantes aún pueden publicar versiones con certificación comprometiendo las acciones de GitHub mediante el envenenamiento de la caché”.
About the Author
