Rspack 的开发人员透露,他们的两个 npm 包,@rspack/core 和 @rspack/cli,在一次软件供应链攻击中遭到入侵,该攻击允许恶意行为者使用加密货币挖掘恶意软件将恶意版本发布到官方包注册表。
发现后,这两个库的 1.1.7 版本已从 npm 注册表中取消发布。最新的安全版本是 1.1.8。
“它们是由获得未经授权的 npm 发布访问权限的攻击者发布的,并且包含恶意脚本,”软件供应链安全公司 Socket 在一份分析中表示。
Rspack 被标榜为 webpack 的替代品,提供“用 Rust 编写的高性能 JavaScript 打包器”。它最初由字节跳动开发,此后已被阿里巴巴、亚马逊、Discord 和 Microsoft 等多家公司采用。
有问题的 npm 包 @rspack/core 和 @rspack/cli 每周的下载量分别超过 300,000 次和 145,000 次,这表明它们的受欢迎程度。
对这两个库的流氓版本的分析表明,它们合并了代码以调用远程服务器 (“80.78.28[.]72“) 来传输敏感的配置详细信息(如云服务凭据),同时通过向”ipinfo[.]io/json。
有趣的是,该攻击还将感染范围限制在位于一组特定国家/地区的机器,例如中国、俄罗斯、香港、白俄罗斯和伊朗。
攻击的最终目标是在安装软件包时,通过“package.json”文件中指定的安装后脚本,在受感染的 Linux 主机上触发 XMRig 加密货币矿工的下载和执行。
“恶意软件是通过 postinstall 脚本执行的,该脚本在安装软件包时自动运行,”Socket 说。“这确保了恶意负载在没有任何用户操作的情况下被执行,并将自身嵌入到目标环境中。”
除了发布没有恶意代码的两个包的新版本外,项目维护者表示,他们使所有现有的 npm 令牌和 GitHub 令牌失效,检查了存储库和 npm 包的权限,并审计了源代码是否存在任何潜在的漏洞。正在调查令牌盗窃的根本原因。
“这次攻击凸显了包管理器需要采取更严格的保护措施来保护开发人员,例如强制执行认证检查,以防止更新到未经验证的版本,”Socket 说。“但它并不是完全无懈可击的。”
“从最近 Python 生态系统中的 Ultralytics 供应链攻击中可以看出,攻击者可能仍然能够通过缓存中毒破坏 GitHub Actions 来发布带有证明的版本。”
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):Rspack npm 包在供应链攻击中受到加密挖矿恶意软件的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论