Siber güvenlik araştırmacıları, birden fazla bakıcıya ait 40’tan fazla paketi etkileyen NPM kayıt defterini hedefleyen yeni bir yazılım tedarik zinciri saldırısı işaretlediler.
“Meyveden çıkarılan sürümler, bir paket tarball’u indiren, paketi değiştiren, yerel bir komut dosyasını (Bundle.js) enjekte eden, arşivi yeniden paketleyerek ve aşağı akış paketlerinin otomatik truva atışını sağlayan bir işlevi (npmmodule.updatepactage) içerir.”
Kampanyanın nihai amacı, Trufflehog’un kimlik bilgisi tarayıcısını kullanarak geliştirici makinelerini sırlar için aramak ve bunları saldırganın kontrolü altındaki harici bir sunucuya iletmektir. Saldırı hem Windows hem de Linux sistemlerini hedefleyebilir.
Aşağıdaki paketler olaydan etkilenen tespit edilmiştir –
- [email protected]
- @Ctrl/[email protected]
- @Ctrl/[email protected]
- @Ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @Ctrl/[email protected]
- @Ctrl/[email protected]
- @ctrl/tinycolor @4.1.1, @4.1.2
- @Ctrl/[email protected]
- @ctrl/şanzı[email protected]
- @Ctrl/[email protected]
- karşılaş[email protected]
- [email protected], 0.2.1
- [email protected], 5.11.1
- @nativecript-community/[email protected]
- @Nativecript-community/Sentry 4.6.43
- @nativecript-community/[email protected]
- @nativecript-community/[email protected]
- @Nativescript-community/[email protected]
- @nativecript-community/[email protected]
- @Nativescript-topluluğu/[email protected]
- @Nativescript-community/ui-materyaler-ç[email protected]
- @Nativescript-topluluğu/ui-materyal-ç[email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
Trojanize edilmiş paketin her birine enjekte edilen kötü amaçlı JavaScript kodu (“Bundle.js”), Github_token, NPM_TOKE, AWS_ACCESS_KED ve AWS_ACCESS_KED gibi jetonlar ve bulut kimlik bilgileri için, ve AWS_SECRESS_KEY gibi jeton ve bulut kimlik bilgilerini taramak için kullanılarak tasarlanmıştır.
Socket, “NPM jetonlarını whoami uç noktasıyla doğrular ve bir jeton mevcut olduğunda GitHub API’leri ile etkileşime girer.” Dedi. “Aynı zamanda bulut yapı aracıları içinde kısa ömürlü kimlik bilgilerini sızdırabilecek bulut meta veri keşfini deniyor.”
Komut dosyası daha sonra .github/iş akışlarında bir GitHub Eylemler iş akışı oluşturmak için geliştiricinin kimlik bilgilerini (yani GitHub kişisel erişim belirteçleri) kötüye kullanır ve toplanan verileri bir WebHook’a püskürtürler.[.]Site bitiş noktası.
Geliştiricilere ortamlarını denetlemeleri ve yukarıda belirtilen paketler yayınlama kimlik bilgileri ile birlikte varsa NPM jetonlarını ve diğer açıkta kalan sırları döndürmeleri tavsiye edilir.
Şirket, “Depolara yazdığı iş akışı, ilk ev sahibinin ötesinde devam ediyor.” “Taahhüt edildikten sonra, gelecekteki herhangi bir CI çalıştırma, hassas sırların ve eserlerin tasarıma göre mevcut olduğu boru hattındaki pessfiltrasyon adımını tetikleyebilir.”
Crates.io kimlik avı kampanyası
Açıklama, Rust Security Yanıt Çalışma Grubu, yazım hatalı bir alandan, Rustfoundation’dan kimlik avı e -postaları uyarısı olarak ortaya çıkıyor[.]Dev, Hedefleme Sandıkları.
Güvenlikten kaynaklanan mesajlar@rustfoundation[.]Dev, alıcıları sandıklardan ödün verdikleri iddiasıyla uyarın.
Rogue Link, Github.Rustfoundation[.]Dev, bir GitHub oturum açma sayfasını taklit ederek, saldırganların kurbanların kimlik bilgilerini yakalama konusunda net bir girişim olduğunu gösteriyor. Kimlik avı sayfasına şu anda erişilemez.
WG, “Bu e -postalar kötü niyetlidir ve görünüşe göre GitHub kimlik bilgilerinizi çalmak amacıyla Rust Foundation (Rust Projesi) tarafından kontrol edilmeyen bir alan adından geliyor.” Dedi. Diyerek şöyle devam etti: “Sandıklardan ödün verdiğine dair bir kanıtımız yok.
Pas ekibi ayrıca, kimlik avı alanını devirmenin yanı sıra Crates.io’daki şüpheli etkinlikleri izlemek için adımlar attıklarını söyledi.