Rspack开发者透露,两个npm包——@rspack/core 和 @rspack/cli,遭遇了供应链攻击,攻击者通过未经授权的npm发布权限将含有加密货币挖矿恶意软件的版本发布到官方包管理库中。
在发现问题后,版本1.1.7的两个库已从npm注册表中下架,最新的安全版本为1.1.8。
安全供应链公司Socket分析称:“这些版本由攻击者发布,攻击者获得了未授权的npm发布权限,且包含恶意脚本。”
Rspack是一个由字节跳动公司开发的高性能JavaScript打包工具,采用Rust编写,被多个公司采用,包括阿里巴巴、亚马逊、Discord和微软等。
受影响的npm包每周下载量分别超过30万和14.5万次,显示出其较高的受欢迎度。
对受感染版本的分析显示,恶意代码会通过HTTP请求将敏感配置信息(如云服务凭证)传输到远程服务器(”80.78.28[.]72″),同时收集IP地址和位置信息。此外,攻击仅限于特定国家/地区的机器,如中国、俄罗斯、香港、白俄罗斯和伊朗。
攻击的最终目标是通过安装包中的postinstall脚本,在受感染的Linux主机上下载并执行XMRig加密货币挖矿程序。
“恶意软件通过postinstall脚本执行,安装包时会自动运行该脚本,从而确保恶意负载在没有用户操作的情况下执行,并嵌入目标环境中。”Socket公司表示。
项目维护者除了发布没有恶意代码的新版本外,还作出以下措施:废除了所有现有的npm和GitHub令牌,检查了代码库和npm包的权限,并对源代码进行了审计。针对令牌盗窃的根本原因调查仍在进行中。
此事件凸显了包管理工具需要采取更严格的保护措施,以防止开发者下载到未验证的版本,如加强认证检查等,但即便如此仍不完全无懈可击。
此外,研究还发现这次供应链攻击还波及到另一个npm包——vant,该包每周下载量超过4.1万次。Sonatype公司表示,攻击者成功发布了多个受感染版本到npm注册表,其中包括版本2.13.3至4.9.14。
“此版本修复了一个安全问题。”vant项目维护者表示,“我们发现团队成员的npm令牌被窃取,并用于发布多个含有安全漏洞的版本。我们已采取措施修复问题并重新发布了最新版本。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
