合气道安全已经确定了影响npm注册表上16个React Native包的活跃供应链攻击,估计每周有100万次下载共同面临风险。

攻击被追踪到负责之前的rand-user-agent妥协的同一威胁行为者,该活动扩展到针对采用JavaScript技术的主要企业使用的广泛使用的React Native组件。折衷方案始于2025年6月6日晚,从@react-native-aria/focus包开始,仅每周就有10万次下载。

根据合气道安全提供的时间表,攻击分几个阶段展开。6月6日格林尼治标准时间21:43+0,攻击者突破了@react-native-aria/focus(版本0.2.10)。在接下来的几个小时里,6月7日00:37至00:48之间又有8个包裹被泄露。当天格林尼治标准时间14:28至14:46 + 0之间检测到进一步的入侵,影响了另外7个包裹,包括@gluestack-ui/utils。到6月8日01时22分,所有受损的包裹都被各自的维护者标记为弃用。

总体而言,受影响的软件包每周从全球开发人员和企业获得约100万次下载。这种影响规模凸显了事件的严重性,引发了整个软件供应链社区的重大担忧。

通过这些受感染的软件包传递的恶意软件是远程访问木马(RAT),该木马装备可以在受感染的机器上执行任意shell命令,上传和下载文件,并通过%LOCALAPPDATA%\Programs\Python\Python3127文件夹在Windows环境中保持持久性。RAT与命令和控制服务器通信,价格为136.09[.]8和85.239.62[.]36,允许攻击者持续访问受感染的系统。

合气道安全的技术分析显示,在恶意代码中使用基于空白的混淆技术,旨在通过将有害脚本从屏幕外推送来隐藏其在标准代码编辑器中的存在。持久性机制是攻击的一个关键方面,即使维护人员推送旨在解决安全漏洞的软件包更新,恶意软件也能保留在系统上。

合气道安全公司(Aikido Security)的恶意软件研究员查理·埃里克森(Charlie Eriksen)评论说:“看到这个威胁行为者在短短几周内就在npm上妥协了几个重要的软件包,这令人担忧。根据我们的数据,受损的软件包非常受欢迎,并且被许多大企业使用。这种违规行为的范围和规模很难低估。

他进一步强调了这个问题的紧迫性:“关于这个故事有很多话要说,但考虑到攻击的严重性,我们希望尽快提高对它的认识,以便人们可以保护自己。这些攻击者一直表现出妥协包的能力,部署他们的远程访问木马(RAT)。

埃里克森还谈到了妥协的时机,他说:“一方面,这发生在周五晚上,在世界大部分地区的营业时间之后,这是不幸的。然而,它也减少了影响,因为大多数人都在享受周末。在这样的情况下,补救时间至关重要 。 ”

即使在包裹更新之后,攻击者仍能保持持久性,从而促进各种攻击路径,包括非法加密货币挖掘,拒绝服务活动,窃取凭据和敏感数据,以及通过受影响组织网络的潜在横向移动。

受影响的软件包的完整列表包括:@react-native-aria/focus(0.2.10),@react-native-aria/utils(0.2.13),@react-native-aria/overlays(0.316),@react-native-aria/interactions(0.2.17),@react-native-aria/toggle(0.2.12),@react-native-aria/swict.

鉴于该漏洞,合气道安全建议组织在使用任何受影响的软件包版本时立即采取几个步骤。首先,建议他们检查防火墙日志,以查找试图到达指定命令和控制服务器的连接。其次,管理员应该检查Windows上Python安装目录中的持久化文件系统。第三,合气道建议将所有具有这些包的系统视为可能受到损害,并采取适当步骤,例如凭据轮换和对访问控制进行审计。