Üç popüler npm paketi, @rspack/core, @rspack/cli ve Vant, çalınan npm hesap belirteçleri yoluyla ele geçirildi ve tehdit aktörlerinin kripto madencileri yükleyen kötü amaçlı sürümleri yayınlamasına olanak tanıdı.
Hem Sonatype hem de Socket araştırmacıları tarafından tespit edilen tedarik zinciri saldırısı, XMRig kripto para madencisini, izlenmesi zor Monero gizlilik kripto para biriminin madenciliği için tehlikeye atılmış sistemlere yerleştirdi.
Ek olarak Sonatype, üç npm paketinin de aynı gün içinde aynı uzlaşmaya kurban gittiğini ve birden fazla sürümü etkilediğini keşfetti.
Rspack, Rust’ta yazılmış, JavaScript projelerinin oluşturulmasında ve paketlenmesinde kullanılan yüksek performanslı bir JavaScript paketleyicisidir.
Güvenliği ihlal edilen iki paket, temel bileşeni ve npm’de haftada sırasıyla 394.000 ve 145.000 kez indirilen komut satırı arayüzü (CLI) aracıdır.
Vant, mobil web uygulamaları oluşturmak için tasarlanmış, önceden tasarlanmış, yeniden kullanılabilir kullanıcı arayüzü bileşenleri sağlayan hafif, özelleştirilebilir bir Vue.js kullanıcı arayüzü kitaplığıdır. Aynı zamanda nispeten popülerdir ve npm’de haftalık 46.000 indirme sayısına ulaşmaktadır.
Kripto madencilik faaliyeti
Kötü amaçlı kod, @rspack/core’daki ‘support.js’ dosyasında ve ‘@rspack/cli’deki ‘config.js’ dosyasında gizlidir ve yapılandırmasını ve komut-kontrol (C2) talimatlarını getirir harici bir sunucudan.
Kötü amaçlı yazılım, paket kurulumunun ardından otomatik olarak yürütülmek üzere npm’nin kurulum sonrası komut dosyasından yararlanır.
Kaynak: Sonatip
Çalıştırıldıktan sonra kurbanın sisteminin coğrafi konumunu ve ağ ayrıntılarını alıyor.
Socket, “Bu çağrı http://ipinfo.io/json adresindeki coğrafi konum API’sine erişerek potansiyel olarak IP adreslerini, coğrafi konumu ve kurbanın sistemiyle ilgili diğer ağ ayrıntılarını topluyor” diye açıklıyor.
“Bu tür bir keşif genellikle saldırıları kullanıcının konumuna veya ağ profiline göre uyarlamak için kullanılır.”
XMRig ikili dosyası GitHub deposundan indirilir ve ele geçirilen Vant paketi için, amacını gizlemek ve dosya sistemine uyum sağlamak için ‘/tmp/vant_helper’ olarak yeniden adlandırılır.
Kripto madenciliği etkinliği, CPU kullanımını mevcut işlemci iş parçacıklarının %75’iyle sınırlayan yürütme parametrelerini kullanır; bu, kripto madencilik performansı ile kaçırma arasında iyi bir denge kurar.
Sonatype’den Ax Sharma, ele geçirilen Rspack paketlerinde aşağıdaki Monero adresinin bulunduğunu söylüyor:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j
Uzlaşmaya tepki
Hem Rspack hem de Vant, NPM hesaplarının ele geçirildiğini doğruladı, paketlerinin yeni, temizlenmiş versiyonlarını yayınladı ve tedarik zincirini koruyamadıkları için topluluktan özür diledi.
“12/19/2024, 02:01 (UTC) tarihinde, @rspack/core ve @rspack/cli npm paketlerimize kötü niyetli bir saldırıya uğradığını keşfettik. Saldırgan, kötü amaçlı kod içeren, güvenliği ihlal edilmiş bir npm belirtecini kullanarak v1.1.7’yi yayınladı. Sorunu keşfettiğimizde hemen harekete geçtik” diye açıkladı RSpack geliştiricileri.
“Bu sürümün amacı bir güvenlik sorununu düzeltmektir. Ekip üyelerimizden birinin npm tokeninin çalındığını ve güvenlik açıklarına sahip birden fazla sürümü yayınlamak için kullanıldığını tespit ettik. Bunu düzeltmek için önlemler aldık ve en son sürümü yeniden yayınladık.” Vant geliştiricisi.
Kaçınılması gereken, tehlikeye atılmış RSpack sürümü, kötü amaçlı kripto madenciliği kodunu içeren 1.1.7’dir.
Kullanıcıların v1.1.8 veya sonraki bir sürüme yükseltmeleri önerilir. Kötü amaçlı sürüm olan v1.1.6’dan önceki sürüm de güvenlidir ancak en son sürümde ek güvenlik önlemleri uygulanmıştır.
Vant’a gelince, güvenliği ihlal edilmiş birden fazla versiyondan kaçınılmalıdır. Bunlar: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13 ve 4.9.14.
Kullanıcıların, yazılımın en son sürümünün güvenli bir şekilde yeniden yayımlanması olan Vant v4.9.15 ve daha yeni bir sürüme yükseltme yapmaları önerilir.
Bu olay, insanların kripto para birimi varlıklarını hedef alan LottieFiles ve kullanıcıların kripto madenciliği için donanım kaynaklarını ele geçiren Ultralytics gibi diğer yakın tarihli tedarik zinciri ihlallerinin ardından geldi.