Rspack npm 包在供应链攻击中遭攻陷
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Rspack 披露称,其两个npm 包 @rspack/core 和 @rspack/cli 在一次软件供应链攻击中遭攻陷,可导致恶意人员利用密币挖 2024-12-23 09:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Rspack 披露称,其两个npm 包 @rspack/core 和 @rspack/cli 在一次软件供应链攻击中遭攻陷,可导致恶意人员利用密币挖掘恶意软件,将恶意版本推送到官方程序包注册表中。

之后,这两个库的1.1.7版本在npm 注册表中的发布已被下架,最新的安全版本是1.1.8。Socket 在分析报告中提到,“1.1.7版本是获得越权npm发布访问权限的攻击者发布的,其中包含恶意代码。”

Rspack 是 webpack 的替代选择,提供“用Rust编写的高性能JavaScript 捆绑版本”。该包最初由字节跳动发布,之后用于多家企业如阿里巴巴、亚马逊、Discord和微软等。@rspack/core和@rspack/cli每周的下载量分别超过30万次和14.5万次,非常受欢迎。

分析这两个恶意版本库发现,它们集成代码,向远程服务器 (“80.78.28[.]72”) 通信,传输敏感的配置详情如云服务凭据,同时通过向 “ipinfo[.]io/json” 发出HTTP GET请求,收集IP地址和位置详情。不过有意思的是攻击者将感染仅限于位于中国、俄罗斯、中国香港、白俄罗斯、伊朗等特定国家或地区的机器。

该攻击的最终目标是,通过 “package.json” 文件中制定的安装后脚本安装程序包时,下载并在受陷的Linux 主机上执行 XMRig 密币挖矿机。Socket 公司指出,“该恶意软件通过安装后脚本执行,而该脚本在程序包安装后自动运行,这就确保无需任何用户操作就能,将其嵌入目标环境中,执行恶意 payload。”

除了发布新版本消除恶意代码外,该项目维护人员表示还将所有的现有 npm 令牌和 GitHub 令牌变得无效,检查该仓库和npm包的权限,并审计源代码中的任何潜在漏洞。目前正在调查令牌被盗的根因。Socket 表示,“该攻击凸显了包管理器采用更严格防护措施保护开发人员的重要性,如执行证明检查以阻止更新到未经验证版本,但这并非完全无懈可击。如 Python 生态系统中发生的 Ultralytics 供应链攻击那样,攻击者可能让然能够通过缓存投毒,攻陷 GitHub Actions,发布获证明的版本。”

Npm 包 vant 也遭受供应链攻击

攻击 Rspack 的供应链攻击据称也攻击另外一个Npm 包vant。Vant的每周下载量超过4.1万次。Sonatype 公司表示,威胁行动者们设法在npm注册表中发布了多个已失陷版本:2.13.3、2.13.4、2.13.5、3.6.13、3.6.14、3.6.15、4.9.11、4.9.12、4.9.13和4.9.14。

Vant的项目维护人员表示,“该发布时为了修复一个安全问题。我们发现其中一名团队人员的npm令牌被盗且被用于发布多个含安全漏洞的版本。我们已经采取措施修复该版本并预先发布了最新版本。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com


推荐阅读

在线阅读版:《2024中国软件供应链安全分析报告》全文

Solana 热门 Web3.js npm库有后门,可触发软件供应链攻击

Npm 库XMLRPC 插入恶意代码,窃取数据部署密币矿机

NPM恶意包利用SSH后门攻击开发人员的以太坊钱包

Python、npm和开源生态系统中的入口点可用于发动供应链攻击

NPM恶意包假冒 “noblox.js”,攻陷 Roblox 开发系统

原文链接

https://thehackernews.com/2024/12/rspack-npm-packages-compromised-with.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521868&idx=2&sn=23c837c94f498de516eae2dd4ecc8c27&chksm=ea94a726dde32e3073487dbfb6c4534cf51a610a0c97bcaf69086b93700433902c9f58c103fc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh