Tedarik Zinciri Saldırısı, haftalık 960K ile Gluestack NPM paketlerini vuruyor


NPM

Önemli bir tedarik zinciri saldırısı, haftalık 950.000’den fazla indirme ile 16 popüler Gluestack ‘React-Native-Aria’ paketinden sonra NPM’ye çarptı.

BleepingComputer, uzlaşmanın 6 Haziran’da saat 16: 33’te, React-Native-Aria/Focus paketinin yeni bir versiyonunun NPM’ye yayınlandığını belirledi. O zamandan beri, 20 GlueStack Reaction-Native-Aria paketinden 16’sı NPM’de tehlikeye atıldı ve tehdit aktörleri iki saat kadar önce yeni bir versiyon yayınladı.

NPM paketlerinin devam eden uzlaşması
NPM paketlerinin devam eden uzlaşması
Kaynak: BleepingComputer

Tedarik zinciri saldırısı, siber güvenlik firması Aikido Security tarafından keşfedildi, bu da enjekte edilen gizlenmiş kodu keşfeden lib/index.js Aşağıdaki paketler için dosya:

Paket adıVersiyonHaftalık İndirmeler
Reaction-anative-Aria/Düğme0.2.1151.000
Reaction-anative-Aria/onay kutusu0.2.1181.000
Reaction-anative-Aria/Combobox0.2.1051.000
Reaction-anative-Aria/ifşa0.2.93
Reaction-Yerli-Aria/Odak0.2.10100.000
Reaction-Yerli-Aria/Etkileşimler0.2.17125.000
Reaction-anative-Aria/ListBox0.2.1051.000
Reaction-anative-Aria/Menü0.2.1622.000
Reaction-anative-Aria/Overays0.3.1696.000
Reaction-anative-Aria/Radyo0.2.1478.000
Reaction-anative-Aria/Switch0.2.5477
Reaction-anative-Aria/geçiş0.2.1281.000
Reaction-Yerli-Aria/Utils0.2.13120.000
gluestack-ui/utils0.1.1755.000
Reaction-anative-Aria/Ayırıcı0.2.765
Reaction-anative-Aria/kaydırıcı0.2.1351.000

Bu paketler, haftalık yaklaşık 960.000 indirme ile çok popülerdir, bu da bu yaygın sonuçları olabilecek bir tedarik zinciri saldırısı haline getirir.

Kötü amaçlı kod yoğun bir şekilde gizlenir ve dosyadaki son kaynak kodu satırına eklenir, birçok boşlukla doldurulur, bu nedenle NPM sitesinde kod görüntüleyicisini kullanırken kolayca tespit edilmez.

INDEX.JS DOSYA sonuna kötü amaçlı kod eklendi
INDEX.JS DOSYA sonuna kötü amaçlı kod eklendi
Kaynak: BleepingComputer

Aikido, BleepingComputer’a kötü amaçlı kodun, geçen ay keşfettikleri başka bir NPM uzlaşmasında bir uzaktan erişim Truva atı ile neredeyse aynı olduğunu söyledi.

Araştırmacının önceki kampanyayı analizi, uzaktan erişim Truva atının saldırganların komuta ve kontrol sunucusuna bağlanacağını ve yürütülecek komutlar alacağını açıklar.

Bu komutlar şunları içerir:

  • CD – Mevcut çalışma dizinini değiştir
  • SS_DIR – Dizini komut dosyasının yoluna sıfırlayın
  • SS_FCD: – Değişim dizini zorla
  • SS_UPF: F, D – Tek dosyayı F Hedef D’ye yükleyin D
  • SS_UPD: D, Dest – Dizin D dizisi altındaki tüm dosyaları hedef kadına yükleyin
  • SS_STOP – Geçerli yükleme işlemini kesintiye uğratmak için bir durdurma bayrağı ayarlar
  • Başka herhangi bir girdi – Child_process.exec () aracılığıyla yürütülen bir kabuk komutu olarak ele alındı

Truva atı ayrıca, yol ortam değişkenine sahte bir python yolu (%localAppdata%\ programlar \ python \ python3127) hazırlayarak Windows yol kaçırma gerçekleştirir ve kötü amaçlı yazılımların kötü niyetli ikililer yürütmek için meşru python veya pip komutlarını sessizce geçersiz kılmasına izin verir.

Aikido Serfirity araştırmacısı Charlie Eriksen, projenin depolarının her birinde GitHub sorunları oluşturarak Gluestack ile ilgili uzlaşma hakkında iletişim kurmaya çalıştı, ancak şu anda herhangi bir yanıt olmadı.

Arkido, “Paket koruyuculardan yanıt yok (ABD’de bir Cumartesi günü sabah tam olarak neden şimdi oluyor).” Dedi.

“NPM her paketle iletişime geçtik ve bildirdik, bu genellikle NPM’nin ele alması için genellikle birden fazla gün süren bir süreç.”

Aikido, bu saldırıyı bu haftanın başlarında diğer dört NPM paketini tehlikeye atan aynı tehdit aktörlerine de bağlar Biatec-AVM-Gas istasyonucputil düğümülfwfinance/sdkVe lfwfinance/sdk-dev.

BleepingComputer, tehlikeye atılan paketler hakkında Gluestack’e ulaştı, ancak şu anda bir cevap almadı.

Tines iğnesi

Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.

Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.



Source link