Rspack 供应链攻击向 npm 生态系统注入加密劫持恶意软件

阅读量15781

|评论1

发布时间 : 2024-12-25 11:35:37

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/rspack-supply-chain-attack-injects-cryptojacking-malware-into-npm-ecosystem/

译文仅供参考,具体内容表达以及含义原文为准。

以使用 Rust 编写的高性能 JavaScript 捆绑程序而闻名的 Rspack 生态系统已成为供应链攻击的最新受害者。这次漏洞影响了两个广泛使用的 npm 软件包 @rspack/core 和 @rspack/cli,它们被篡改为包含加密劫持恶意软件。

当攻击者获得未经授权的 npm 发布权限时,@rspack/core 和 @rspack/cli 的 1.1.7 版本遭到了破坏。“这些恶意版本包含旨在执行未经授权的加密货币挖掘的混淆脚本。”根据 Socket 研究小组的分析,恶意软件是通过安装后脚本执行的,该脚本会在安装软件包时自动运行。

Rspack 已在微软、亚马逊、Discord 和阿里巴巴等顶级公司中迅速流行起来,仅 @rspack/core 就拥有每周 37 万次的下载量。这次漏洞有可能影响到成千上万使用受损软件包的开发人员和企业。

攻击者在 @rspack/core 的 support.js 文件和 @rspack/cli 的 config.js 文件中注入了加密劫持脚本。主要恶意功能包括:

  • 加密劫持: 脚本下载并执行 XMRig Cryptomining 程序,利用计算能力挖掘 Monero 加密货币。使用-cpu-max-threads-hint=75等参数来限制CPU使用量,避免被发现。
  • 数据外渗: 恶意代码从 http://80.78.28.72/tokens 和 http://ipinfo.io/json 等外部服务器获取信息,收集 IP 地址和地理位置数据等用户环境详细信息。这种侦查可为定制攻击提供便利。
  • 隐蔽战术: 采用混淆技术来逃避检测和分析。恶意软件通过软件包的安装后脚本将自身嵌入到开发环境中,使开发人员无法察觉其存在。

Rspack 团队通过以下措施迅速缓解了这一问题:

  • 废弃 1.1.7 版本,将最新的 dist-tag 重定向到 1.1.6 版本。
  • 使所有 npm 和 GitHub 标记失效,以防止更多未经授权的访问。
  • 发布 1.1.8 版,删除恶意代码并恢复对受影响软件包的信任
本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66