Rspack geliştiricileri, npm paketlerinden ikisi olan @rspack/core ve @rspack/cli’nin, kötü niyetli bir aktörün, kripto para birimi madenciliği kötü amaçlı yazılım içeren resmi paket kayıt defterinde kötü amaçlı sürümler yayınlamasına olanak tanıyan bir yazılım tedarik zinciri saldırısında ele geçirildiğini açıkladı.
Keşfin ardından, her iki kütüphanenin 1.1.7 sürümleri npm kayıt defterinde yayından kaldırıldı. En son güvenli sürüm 1.1.8’dir.
Yazılım tedarik zinciri güvenlik firması Socket bir analizde, “Bunlar, yetkisiz npm yayınlama erişimi elde eden bir saldırgan tarafından serbest bırakıldı ve kötü amaçlı komut dosyaları içeriyor” dedi.
Rspack, web paketine alternatif olarak faturalandırılır ve “Rust’ta yazılmış yüksek performanslı bir JavaScript paketleyicisi” sunar. Başlangıçta ByteDance tarafından geliştirilen bu özellik, o zamandan beri Alibaba, Amazon, Discord ve Microsoft gibi birçok şirket tarafından benimsendi.
Söz konusu npm paketleri, @rspack/core ve @rspack/cli, haftalık olarak sırasıyla 300.000 ve 145.000’in üzerinde indirilme sayısına ulaşıyor ve bu da popülerliklerinin bir göstergesi.
İki kütüphanenin hileli versiyonlarının analizi, uzak bir sunucuya çağrı yapmak için kod içerdiklerini ortaya çıkardı (“80.78.28”)[.]Bulut hizmeti kimlik bilgileri gibi hassas yapılandırma ayrıntılarını iletmek ve aynı zamanda “ipinfo”ya bir HTTP GET isteği yaparak IP adresi ve konum ayrıntılarını toplamak için 72″)[.]io/json.”
İlginç bir şekilde, saldırı aynı zamanda enfeksiyonu Çin, Rusya, Hong Kong, Beyaz Rusya ve İran gibi belirli ülkelerde bulunan makinelerle de sınırlandırıyor.
Saldırıların nihai hedefi, “package.json” dosyasında belirtilen bir kurulum sonrası komut dosyası aracılığıyla paketlerin kurulumu üzerine XMRig kripto para madencisinin güvenliği ihlal edilmiş Linux ana bilgisayarlarına indirilmesini ve çalıştırılmasını tetiklemektir.
Socket, “Kötü amaçlı yazılım, paket yüklendiğinde otomatik olarak çalışan kurulum sonrası komut dosyası aracılığıyla çalıştırılıyor” dedi. “Bu, kötü amaçlı yükün herhangi bir kullanıcı eylemi olmadan yürütülmesini ve kendisini hedef ortama yerleştirmesini sağlar.”
Proje sorumluları, iki paketin kötü amaçlı kod içermeyen yeni bir sürümünü yayınlamanın yanı sıra, mevcut tüm npm token’larını ve GitHub token’larını geçersiz kıldıklarını, depo ve npm paketlerinin izinlerini kontrol ettiklerini ve kaynak kodunu olası güvenlik açıklarına karşı denetlediklerini söyledi. Token hırsızlığının temel nedenine ilişkin soruşturma sürüyor.
Socket, “Bu saldırı, paket yöneticilerinin geliştiricileri korumak için, doğrulanmamış sürümlere güncellemeyi önlemek için doğrulama kontrollerini zorunlu kılmak gibi daha katı güvenlik önlemleri alma ihtiyacını vurguluyor” dedi. “Fakat tamamen kurşun geçirmez değil.”
“Python ekosistemindeki son Ultralytics tedarik zinciri saldırısında görüldüğü gibi, saldırganlar önbellek zehirlenmesi yoluyla GitHub Eylemlerini tehlikeye atarak yine de onaylı sürümleri yayınlayabilir.”