Un ataque importante en la cadena de suministro golpeó el NPM después de 16 paquetes populares de Gluestack “ React-Aria ” con más de 950,000 descargas semanales se han visto comprometidos a incluir un código malicioso que actúa como una troy remota (rata).
BleepingCompute determinó que el compromiso comenzó el 6 de junio a las 4:33 p.m., cuando se publicó una nueva versión del paquete React-Native-Aria / Focus en NPM. Desde entonces, 16 de los 20 Guguestacks Paquetes de aria reactiva estaban comprometidos en la NPM, los actores de amenaza que publican una nueva versión hace dos horas.
Fuente: BleepingCompute
El ataque de la cadena de suministro fue descubierto por la compañía de seguridad cibernética Akido Security, que descubrió el código oscurecido inyectado en el lib/index.js Archivo para los siguientes paquetes:
| Nombre del paquete | Versión | Descargas semanales |
| React-Native-Arria / botón | 0.2.11 | 51,000 |
| React-Native-Aria / cuadro verificación | 0.2.11 | 81,000 |
| Reactiva-Native-Arria / Combobox | 0.2.10 | 51,000 |
| Reactiva-Native-Arria / Divulgación | 0.2.9 | 3 |
| Reactiva-Native-Arria / Focus | 0.2.10 | 100,000 |
| Reactiva-Nativa-Arria / interacciones | 0.2.17 | 125,000 |
| React-nativo-aria / listbox | 0.2.10 | 51,000 |
| Arria reactiva-nativa / menú | 0.2.16 | 22,000 |
| Arria-nativa reactiva / superposiciones | 0.3.16 | 96,000 |
| Reactiva-naif-aria / radio | 0.2.14 | 78,000 |
| activo-nativo-aria / interruptor | 0.2.5 | 477 |
| Arria reactiva-nativa / alternar | 0.2.12 | 81,000 |
| Reactive-Native-Arria / Util | 0.2.13 | 120,000 |
| Gluestack-iu / Utils | 0.1.17 | 55,000 |
| reactivo-nativo-aria / separador | 0.2.7 | 65 |
| Arria / cursor reactiva | 0.2.13 | 51,000 |
Estos paquetes son muy populares, con alrededor de 960,000 descargas semanales, lo que lo convierte en un ataque de cadena de suministro que podría tener consecuencias generalizadas.
El código malicioso está fuertemente oscurecido y se anexa a la línea final del código fuente en el archivo, acolchado con muchos espacios, por lo tanto, no se ve fácilmente cuando se usa el visor de código en el sitio NPM.
Fuente: BleepingCompute
Aikido declaró que el código malicioso era casi idéntico a un caballo troyano desde la distancia Otro compromiso de NPM que descubrieron mes pasado.
El análisis del investigador de la campaña anterior explica que el caballo remoto de Troya se conectará al servidor de control y control de los atacantes y recibirá comandos que se ejecutarán.
Estos pedidos incluyen:
- CD – Modificar el directorio de trabajo actual
- SS_DIR – Restablecer el repertorio de la ruta del script
- SS_FCD: – Fuerza al repertorio del cambio en
- SS_UPF: F, D – Descargar una sola F en el destino D
- SS_UPD: D, Dest – Descargue todos los archivos en Directorio D al destino Dest
- ss_stop – Define un indicador de parada para interrumpir el proceso de descarga actual
- Cualquier otra entrada – Tratado como comando shell, ejecutado a través de child_process.exec () ()
El troyano también realiza un desvío de la ruta de Windows al agregar una ruta de Python False (% LocalAppData% \ Programas \ Python3127) a la variable de entorno de ruta, lo que permite que el software malicioso reemplace silenciosamente los comandos legítimos de Python o PIP para ejecutar binario malicioso.
El investigador de Aikido Sercure, Charlie Eriksen, trató de contactar a Gluestack sobre el compromiso creando Problemas de Github En cada uno de los puntos de referencia del proyecto, pero no ha habido respuesta en este momento.
“No hay respuesta de los titulares de paquetes (es la mañana del sábado en los Estados Unidos, por lo que sucede ahora)”, dijo Arkido a BleepingCompute.
“NPM con el que contactamos e informamos en cada paquete, este es un proceso que generalmente tarda varios días en resolver el NPM”.
Aikido también atribuye este ataque a los mismos actores de amenaza que comprometieron otros cuatro paquetes de NPM a principios de esta semana Estación de gas biatec-avm, Nudo cputil, Lfwfinance / sdkY LFWFINANCE / SDK-DEV.
BleepingCompute contactó a Gluestack con respecto a los paquetes comprometidos, pero no ha recibido una respuesta en este momento.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.