Önemli bir tedarik zinciri saldırısı, haftalık 950.000'den fazla indirme ile 16 popüler Gluestack 'React-Native-Aria' paketinden sonra NPM'ye çarptı.
BleepingComputer, uzlaşmanın 6 Haziran'da saat 16: 33'te, React-Native-Aria/Focus paketinin yeni bir versiyonunun NPM'ye yayınlandığını belirledi. O zamandan beri, 20 GlueStack Reaction-Native-Aria paketinden 16'sı NPM'de tehlikeye atıldı ve tehdit aktörleri iki saat kadar önce yeni bir versiyon yayınladı.
Tedarik zinciri saldırısı, aşağıdaki paketler için lib/index.js dosyasına enjekte edilen gizlenmiş kodu keşfeden siber güvenlik firması Aikido Security tarafından keşfedildi:
Bu paketler, haftalık yaklaşık 960.000 indirme ile çok popülerdir, bu da bu yaygın sonuçları olabilecek bir tedarik zinciri saldırısı haline getirir.
Kötü amaçlı kod yoğun bir şekilde gizlenir ve dosyadaki son kaynak kodu satırına eklenir, birçok boşlukla doldurulur, bu nedenle NPM sitesinde kod görüntüleyicisini kullanırken kolayca tespit edilmez.
Aikido, BleepingComputer'a kötü amaçlı kodun, geçen ay keşfettikleri başka bir NPM uzlaşmasında bir uzaktan erişim Truva atı ile neredeyse aynı olduğunu söyledi.
Araştırmacının önceki kampanyayı analizi, uzaktan erişim Truva atının saldırganların komuta ve kontrol sunucusuna bağlanacağını ve yürütülecek komutlar alacağını açıklar.
Bu komutlar şunları içerir:
Truva atı ayrıca, yol ortam değişkenine sahte bir python yolu (%localAppdata%\ programlar \ python \ python3127) hazırlayarak Windows yol kaçırma gerçekleştirir ve kötü amaçlı yazılımların kötü niyetli ikililer yürütmek için meşru python veya pip komutlarını sessizce geçersiz kılmasına izin verir.
Aikido Serfirity araştırmacısı Charlie Eriksen, projenin depolarının her birinde GitHub sorunları oluşturarak Gluestack ile ilgili uzlaşma hakkında iletişim kurmaya çalıştı, ancak şu anda herhangi bir yanıt olmadı.
Arkido, "Paket koruyuculardan yanıt yok (ABD'de bir Cumartesi günü sabah tam olarak neden şimdi oluyor)." Dedi.
"NPM her paketle iletişime geçtik ve bildirdik, bu genellikle NPM'nin ele alması için genellikle birden fazla gün süren bir süreç."
Aikido, bu saldırıyı bu haftanın başlarında Biatec-AVM-Gas istasyonu, cputil-node, lfwfinance/sdk ve lfwfinance/sdk-eV adlı diğer dört NPM paketini tehlikeye atan aynı tehdit aktörleriyle de ilişkilendiriyor.
BleepingComputer, tehlikeye atılan paketler hakkında Gluestack'e ulaştı, ancak şu anda bir cevap almadı.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın - karmaşık komut dosyaları gerekmez.
Tedarik Zinciri Saldırısı NPM Paketine Haftalık 45.000 İndirme
Kötü niyetli NPM paketi, tespitten kaçınmak için unicode steganografisi kullanır
Kötü niyetli Pypi Paketleri Kötüye Kullanım Gmail, WebSockets Kaçırma Sistemlerine
AI-Hallucine Cod bağımlılıkları yeni tedarik zinciri riski haline gelir
Kamu hizmetleri olarak poz veren kötü amaçlı NPM paketleri proje dizinlerini sil
Kaynak: Bleeping Computer