Onderzoekers van cybersecurity hebben een nieuwe aanval voor supply chain -aanval op het gebied van software gericht op het NPM -register dat meer dan 40 pakketten heeft beïnvloed die bij meerdere onderhouders behoren.
“De gecompromitteerde versies omvatten een functie (npmmodule.updatePackage) die een pakket tarball downloadt, pakket.json wijzigt, een lokaal script injecteert (bundle.js), het archief opnieuw inpakt en het opnieuw in staat stellen, automatische trojanisatie van stroomafwaartse pakketten mogelijk maken,” Supply Chain Security Security Scocket.
Het einddoel van de campagne is om ontwikkelaarsmachines te zoeken naar geheimen met behulp van de referentiescanner van TruffleHog en ze te verzenden naar een externe server onder controle van de aanvaller. De aanval is in staat om zowel Windows- als Linux -systemen te richten.
De volgende pakketten zijn geïdentificeerd als beïnvloed door het incident –
- [email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @Ctrl/[email protected]
- @ctrl/tinycolor @4.1.1, @4.1.2
- @ctrl/[email protected]
- @ctrl/[email protected]
- @Ctrl/[email protected]
- [email protected]
- JSON-Rules- [email protected], 0.2.1
- [email protected], 5.11.1
- @NativeScript-Community/[email protected]
- @NativeScript-Community/Sentry 4.6.43
- @nativeScript-Community/[email protected]
- @nativeScript-Community/[email protected]
- @nativeScript-Community/[email protected]
- @nativeScript-Community/[email protected]
- @NativeScript-Community/[email protected]
- @NativeScript-Community/[email protected]
- @NativeScript-Community/[email protected]
- [email protected]
- [email protected]
- [email protected]
- react- en [email protected]
- [email protected]
- React-Jsonschema–[email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
De kwaadaardige JavaScript -code (“bundel.js”) geïnjecteerd in elk van het Trojanized -pakket is ontworpen om TruffleHog te downloaden en uit te voeren, een legitieme geheime scanhulpmiddel, gebruikt deze om de host te scannen op tokens en cloud -referenties, zoals github_token, npm_token, aws_access_key_id, en aws_secret_key.
“Het valideert NPM -tokens met het WHOAMI -eindpunt en het interageert met GitHub API’s wanneer een token beschikbaar is,” zei Socket. “Het probeert ook cloud-metadata-ontdekking die kortstondige referenties kan lekken in cloudbuild-agenten.”
Het script misbruikt vervolgens de referenties van de ontwikkelaar (dat wil zeggen de GitHub Personal Access Tokens) om een GitHub -actiesworkflow in .github/workflows te maken en de verzamelde gegevens naar een Site -eindpunt van een WebHook (.) Te creëren.
Ontwikkelaars worden geadviseerd om hun omgevingen te controleren en NPM -tokens en andere blootgestelde geheimen te roteren als de bovengenoemde pakketten aanwezig zijn met publicatiegegevens.
“De workflow die het schrijft aan repositories blijft bestaan buiten de eerste gastheer,” merkte het bedrijf op. “Eenmaal begaan, kan elke toekomstige CI -run de exfiltratiestap activeren vanuit de pijplijn waar gevoelige geheimen en artefacten beschikbaar zijn per ontwerp.”
Stiefsecurity, die ook details van de campagne deelde, zei dat de aanval een betreffende evolutie in supply chain-bedreigingen aantoont, aangezien de malware een zelfpropagerend mechanisme omvat dat automatische infectie van stroomafwaartse pakketten mogelijk maakt. Dit gedrag creëert een “trapsgewijze compromis over het ecosysteem.”
kratten.io phishing campagne
De openbaarmaking komt omdat de werkgroep van Rust Security Response waarschuwt voor phishing -e -mails van een typosquatted domein, roestfoundation (.) Dev, richt op kratten.io -gebruikers.
De berichten, die afkomstig zijn van Security@Rustfoundation (.) Dev, waarschuwen ontvangers van een vermeend compromis van de Crates.io -infrastructuur en instrueren ze om op een ingebedde link te klikken om hun inloggegevens te roteren om “ervoor te zorgen dat de aanvaller geen pakketten kan wijzigen die door u zijn gepubliceerd.”
The Rogue Link, GitHub.rustFoundation (.) Dev, bootst een Github -inlogpagina na, wat een duidelijke poging van de aanvallers aangeeft om de referenties van slachtoffers vast te leggen. De phishing -pagina is momenteel ontoegankelijk.
“Deze e -mails zijn kwaadaardig en komen uit een domeinnaam die niet wordt bestuurd door de Rust Foundation (noch het Rust -project), schijnbaar met het doel je GitHub -referenties te stelen,” zei de Rust Security Response WG. “We hebben geen bewijs van een compromis van de kratten.io -infrastructuur.”
Het Rust -team zei ook dat ze stappen ondernomen om verdachte activiteit op kratten te controleren. IE, naast het afnemen van het phishing -domein.
