Tres paquetes npm populares, @rspack/core, @rspack/cli y Vant, se vieron comprometidos con el robo de tokens de cuentas npm, lo que permitió a actores maliciosos liberar compilaciones maliciosas instalando criptomineros.
El ataque a la cadena de suministro, detectado por ambos sonatipo Y Enchufe Los investigadores implementaron el minero de criptomonedas XMRig en sistemas comprometidos para extraer Monero, la criptomoneda de privacidad difícil de rastrear.
Además, Sonatype descubrió que los tres paquetes npm se vieron comprometidos el mismo día, afectando a varias versiones.
Rspack es un paquete de JavaScript de alto rendimiento escrito en Rust, que se utiliza para crear y agrupar proyectos de JavaScript.
Los dos paquetes comprometidos son su componente principal y la herramienta de interfaz de línea de comandos (CLI), descargados 394.000 y 145.000 veces por semana en npm, respectivamente.
Vant es una biblioteca de interfaz de usuario Vue.js liviana y personalizable diseñada para crear aplicaciones web móviles, que proporciona componentes de interfaz de usuario reutilizables y prediseñados. También es relativamente popular, con 46.000 descargas semanales en npm.
Actividad de criptominería
El código malicioso está oculto en el archivo “support.js” en @rspack/core y en el archivo “config.js” en “@rspack/cli”, y recupera su configuración y sus instrucciones de comando y control (C2). desde un servidor externo.
El malware aprovecha el script posterior a la instalación npm para ejecutarlo automáticamente durante la instalación del paquete.
Fuente: Sonatipo
Una vez ejecutado, recupera la ubicación geográfica y los detalles de la red del sistema de la víctima.
“Esta llamada accede a la API de geolocalización y potencialmente recopila direcciones IP, ubicación geográfica y otros detalles de la red en el sistema de la víctima”, explica Socket.
“Este reconocimiento se utiliza a menudo para personalizar los ataques según la ubicación del usuario o el perfil de red”.
El binario XMRig se descarga de un repositorio de GitHub y, para el paquete Vant comprometido, se le cambia el nombre a “/tmp/vant_helper” para ocultar su propósito y combinarse con el sistema de archivos.
La actividad de criptominería utiliza configuraciones de ejecución que limitan el uso de la CPU al 75% de los subprocesos de CPU disponibles, lo que logra un buen equilibrio entre el rendimiento y la evasión de la criptominería.
Ax Sharma de Sonatype informa que se encontró la siguiente dirección de Monero en los paquetes Rspack comprometidos:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1jRespuesta al compromiso
Rspack y Vant confirmaron que sus cuentas de NPM se habían visto comprometidas, lanzaron nuevas versiones limpias de sus paquetes y se disculparon con la comunidad por no proteger la cadena de suministro.
“El 19/12/2024 a las 02:01 (UTC), descubrimos que nuestros paquetes npm @rspack/core y @rspack/cli habían sido atacados maliciosamente. El atacante lanzó la versión 1.1.7 usando un token npm comprometido, que contenía código malicioso. Tomamos medidas inmediatas tan pronto como descubrimos el problema. explicaron los desarrolladores de Rspack.
“Esta versión tiene como objetivo abordar un problema de seguridad. Descubrimos que el token npm de un miembro de nuestro equipo fue robado y utilizado para lanzar múltiples compilaciones con vulnerabilidades de seguridad. Tomamos medidas para resolverlo y relanzamos la última versión”. publicado desarrollador Vant.
La versión comprometida de Rspack que se debe evitar es la 1.1.7, que contiene código malicioso de criptominería.
Se recomienda a los usuarios actualizar a v1.1.8 o más tarde. La versión anterior a la versión maliciosa, v1.1.6, también es segura, pero la última ha implementado medidas de seguridad adicionales.
En cuanto a Vant, se deben evitar varias versiones comprometidas. Estos son: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13 y 4.9.14.
Se recomienda a los usuarios actualizar a Vant v4.9.15 y más reciente, que es una reedición segura de la última versión del software.
Este incidente sigue a otros compromisos recientes en la cadena de suministro, como LottieFiles, que apuntó a los activos de criptomonedas de las personas, y Ultralytics, que hizo un mal uso de los recursos de hardware de los usuarios con fines de criptominería.