В npm
опубликованы вредоносные
версии пакетов Rspack и Vant
В npm опубликованы вредоносные версии пакетов Rspack и Vant
Мария Нефедова
только что
Комментарии
8
Рекомендуем почитать:
Хакер• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность) #305. Многошаговые SQL-инъекции• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность
Содержание выпуска
Подписка на «Хакер• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Хакинг (компьютерная безопасность)» -60%
Сразу три популярных в npm пакета (@rspack/core, @rspack/cli и Vant) были
взломаны и заменены вредоносными версиями, содержащими криптовалютные• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта майнеры.
Дело в том, что у разработчиков• Объект человек » Люди по роду занятий » Ученые украли токены от учетных записей npm.
Эту атаку на цепочку поставок обнаружили исследователи• Объект человек » Люди по роду занятий » Ученые компаний Sonatype и
Socket . Вредоносные пакеты устанавливали майнер XMRig на машины жертв и
добывали криптовалюту• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero. Аналитики Sonatype подчеркивают, что все три
пакета npm стали жертвами компрометации в один и тот же день, то есть речь
явно идет о скоординированной атаке.
Rspack представляет собой высокопроизводительный JavaScript-бандлер,
написанный на Rust и используемый для сборки и упаковки JavaScript-проектов.
Два взломанных пакета — это основной компонент Rspack и CLI-инструмент,
которые еженедельно скачивают с npm 394 000 и 145 000 раз.
В свою очередь Vant — это легкая, кастомизируемая UI-библиотека Vue.js,
предназначенная для создания мобильных веб• Телекоммуникации и связь » Радио » Радиосвязь » Сотовая связь » Сотовые телефоны » Мобильный Веб
• Телекоммуникации и связь » Телефонная связь » Сотовая связь » Сотовые телефоны » Мобильный Веб-приложений и предоставляющая
готовые UI-компоненты. Vant насчитывает 46 000 еженедельных загрузок на npm.
Майнер был добавлен в Rspack весрии 1.1.7. Теперь пользователям рекомендуется
обновиться до версии 1.1.8 или более поздней. Также малвари нет в версии,
предшествующей вредоносной (1.1.6), но в новом релизе были реализованы
дополнительные защитные меры.
Что касается Vant, то пользователям следует избегать сразу ряда
скомпрометированных версий: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15,
4.9.11, 4.9.12, 4.9.13 и 4.9.14. В этом случае рекомендуется обновиться до
Vant 4.9.15 или новее.
Исследователи• Объект человек » Люди по роду занятий » Ученые пишут, что вредоносный код• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус, отвечавший за получение настроек и
инструкций с управляющего сервера злоумышленников, был скрыт в файле
support.js в случае @rspack/core и в файле config.js для @rspack/cli.
После запуска вредонос собирал информацию о географическом положении и сетевых
данных системы жертвы. Исследователи• Объект человек » Люди по роду занятий » Ученые пишут, что сбор такой информации часто
используется для адаптации атак на основании геолокации пользователя или его
сетевого профиля.
Бинарник XMRig загружался из репозитория на GitHub, и в случае Vant он еще и
переименовывался в /tmp/vant_helper, чтобы скрыть его предназначение.
Разработчики• Объект человек » Люди по роду занятий » Ученые Rspack и Vant уже подтвердили, что их аккаунты npm были взломаны,
и опубликовали «чистые» версии пакетов. Также разработчики• Объект человек » Люди по роду занятий » Ученые извинились перед
сообществом за то, что не сумели обеспечить безопасность цепочки поставок.
«19.12.2024 в 02:01 мы обнаружили, что наши npm-пакеты @rspack/core и
@rspack/cli подверглись атаке. Злоумышленник выпустил версию 1.1.7, которая
содержала вредоносный код• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус, используя скомпрометированный токен npm. Обнаружив
проблему, мы немедленно приняли меры», — пишут разработчики• Объект человек » Люди по роду занятий » Ученые Rspack.
«Новый релиз исправляет проблему безопасности. Мы обнаружили, что токен npm
одного из членов нашей команды был украден и использовался для выпуска
нескольких вредоносных версий. Мы приняли меры по устранению этой проблемы и
перевыпустили последнюю версию», — сообщили авторы Vant.