Trys populiarūs npm paketai, @rspack/core, @rspack/cli ir Vant, buvo pažeisti dėl pavogtų npm paskyros žetonų, todėl grėsmės veikėjai galėjo skelbti kenkėjiškas versijas, kuriose buvo įdiegtos kriptovaliutos.
Tiekimo grandinės ataka, kurią pastebėjo ir Sonatype, ir Socket tyrėjai, XMRig kriptovaliutų kasyklą panaudojo pažeistose sistemose, skirtose sunkiai atsekamos Monero privatumo kriptovaliutos gavybai.
Be to, „Sonatype“ išsiaiškino, kad visi trys „npm“ paketai tapo identiško kompromiso aukomis tą pačią dieną ir turėjo įtakos kelioms versijoms.
Rspack yra didelio našumo „JavaScript“ rinktuvas, parašytas „Rust“, naudojamas kuriant ir sujungiant „JavaScript“ projektus.
Du paketai, kuriems buvo pakenkta, yra jo pagrindinis komponentas ir komandinės eilutės sąsajos (CLI) įrankis, atsisiunčiamas atitinkamai 394 000 ir 145 000 kartų per savaitę per npm.
„Vant“ yra lengva, tinkinama „Vue.js“ vartotojo sąsajos biblioteka, pritaikyta kurti žiniatinklio mobiliesiems programas, teikianti iš anksto suprojektuotus pakartotinai naudojamus vartotojo sąsajos komponentus. Jis taip pat gana populiarus, per savaitę per npm atsisiunčiamas 46 000 kartų.
Kriptomino gavybos veikla
Kenkėjiškas kodas yra paslėptas faile „support.js“, esančiame @rspack/core, ir „config.js“ faile, esančiame „@rspack/cli“, ir gauna jo konfigūracijos bei komandų ir valdymo (C2) instrukcijas. iš išorinio serverio.
Kenkėjiška programa panaudoja npm postinstall scenarijų, kad būtų paleista automatiškai įdiegus paketą.
Šaltinis: Sonatype
Kai jis veikia, jis nuskaito aukos sistemos geografinę vietą ir tinklo informaciją.
„Šis skambutis pasiekia geografinės vietos nustatymo API adresu http://ipinfo.io/json, potencialiai renkant IP adresus, geografinę vietą ir kitą tinklo informaciją apie aukos sistemą“, – aiškina Socket.
„Tokia žvalgyba dažnai naudojama atakoms pritaikyti pagal vartotojo vietą ar tinklo profilį.
„XMRig“ dvejetainis failas atsisiunčiamas iš „GitHub“ saugyklos, o pažeistam „Vant“ paketui jis pervadinamas į „/tmp/vant_helper“, kad būtų paslėpta jo paskirtis ir įsilietų į failų sistemą.
Šifravimo veikla naudoja vykdymo parametrus, kurie riboja procesoriaus naudojimą iki 75% galimų procesoriaus gijų, o tai užtikrina gerą šifravimo našumo ir vengimo pusiausvyrą.
„Sonatype's Axe Sharma“ sako, kad šis „Monero“ adresas buvo rastas pažeistuose „Rspack“ paketuose:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j
Atsakymas į kompromisą
Tiek Rspack, tiek Vant patvirtino, kad jų NPM paskyros buvo pažeistos, išleido naujas, išvalytas paketų versijas ir atsiprašė bendruomenės, kad nepavyko apsaugoti tiekimo grandinės.
„2024-12-19, 02:01 (UTC), nustatėme, kad mūsų npm paketai @rspack/core ir @rspack/cli buvo piktybiškai užpulti. Užpuolikas išleido v1.1.7 naudodamas pažeistą npm prieigos raktą, kuriame buvo kenkėjiškas kodas Išsiaiškinę problemą, nedelsdami ėmėmės veiksmų“, – paaiškino „Rspack“ kūrėjai.
„Šis leidimas skirtas saugos problemai išspręsti. Mes nustatėme, kad vieno iš mūsų komandos narių npm prieigos raktas buvo pavogtas ir panaudotas kelioms versijoms su saugumo spragomis išleisti. Ėmėmės priemonių ją ištaisyti ir iš naujo išleidome naujausią versiją”, Vant kūrėjas.
Pažeista Rspack versija, kurios reikia vengti, yra 1.1.7, kurioje yra kenkėjiškas kriptovaliutų gavybos kodas.
Naudotojams rekomenduojama atnaujinti į 1.1.8 ar naujesnę versiją. Versija prieš kenkėjišką, v1.1.6, taip pat yra saugi, tačiau naujausioje įdiegtos papildomos saugos priemonės.
Kalbant apie Vant, reikėtų vengti kelių pažeistų versijų. Tai yra: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13 ir 4.9.14.
Naudotojams rekomenduojama atnaujinti į Vant v4.9.15 ir naujesnę versiją, kuri yra saugus naujausios programinės įrangos versijos išleidimas iš naujo.
Šis incidentas įvyko po kitų pastarojo meto tiekimo grandinės kompromisų, pvz., „LottieFiles“, kuri buvo nukreipta į žmonių kriptovaliutų turtą, ir „Ultralytics“, kuri užgrobė vartotojų aparatinės įrangos išteklius kriptovaliutų naudojimui.
