聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
之后,这两个库的1.1.7版本在npm 注册表中的发布已被下架,最新的安全版本是1.1.8。Socket 在分析报告中提到,“1.1.7版本是获得越权npm发布访问权限的攻击者发布的,其中包含恶意代码。”
Rspack 是 webpack 的替代选择,提供“用Rust编写的高性能JavaScript 捆绑版本”。该包最初由字节跳动发布,之后用于多家企业如阿里巴巴、亚马逊、Discord和微软等。@rspack/core和@rspack/cli每周的下载量分别超过30万次和14.5万次,非常受欢迎。
分析这两个恶意版本库发现,它们集成代码,向远程服务器 (“80.78.28[.]72”) 通信,传输敏感的配置详情如云服务凭据,同时通过向 “ipinfo[.]io/json” 发出HTTP GET请求,收集IP地址和位置详情。不过有意思的是攻击者将感染仅限于位于中国、俄罗斯、中国香港、白俄罗斯、伊朗等特定国家或地区的机器。
该攻击的最终目标是,通过 “package.json” 文件中制定的安装后脚本安装程序包时,下载并在受陷的Linux 主机上执行 XMRig 密币挖矿机。Socket 公司指出,“该恶意软件通过安装后脚本执行,而该脚本在程序包安装后自动运行,这就确保无需任何用户操作就能,将其嵌入目标环境中,执行恶意 payload。”
除了发布新版本消除恶意代码外,该项目维护人员表示还将所有的现有 npm 令牌和 GitHub 令牌变得无效,检查该仓库和npm包的权限,并审计源代码中的任何潜在漏洞。目前正在调查令牌被盗的根因。Socket 表示,“该攻击凸显了包管理器采用更严格防护措施保护开发人员的重要性,如执行证明检查以阻止更新到未经验证版本,但这并非完全无懈可击。如 Python 生态系统中发生的 Ultralytics 供应链攻击那样,攻击者可能让然能够通过缓存投毒,攻陷 GitHub Actions,发布获证明的版本。”
攻击 Rspack 的供应链攻击据称也攻击另外一个Npm 包vant。Vant的每周下载量超过4.1万次。Sonatype 公司表示,威胁行动者们设法在npm注册表中发布了多个已失陷版本:2.13.3、2.13.4、2.13.5、3.6.13、3.6.14、3.6.15、4.9.11、4.9.12、4.9.13和4.9.14。
Vant的项目维护人员表示,“该发布时为了修复一个安全问题。我们发现其中一名团队人员的npm令牌被盗且被用于发布多个含安全漏洞的版本。我们已经采取措施修复该版本并预先发布了最新版本。”
Solana 热门 Web3.js npm库有后门,可触发软件供应链攻击
https://thehackernews.com/2024/12/rspack-npm-packages-compromised-with.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~