Cybersecurity -onderzoekers hebben een aanval van de supply chain -aanval gericht op een dozijn pakketten geassocieerd met Gluestack om malware te leveren.
De malware, geïntroduceerd via een wijziging in “lib/commonjs/index.js”, stelt een aanvaller in staat om shell -opdrachten uit te voeren, screenshots te maken en bestanden te uploaden naar geïnfecteerde machines, vertelde Aikido Security aan The Hacker News, met vermelding van deze pakketten gezamenlijk rekening houdend met bijna 1 miljoen wekelijkse downloads.
De ongeautoriseerde toegang kan vervolgens worden gebruikt om verschillende vervolgacties uit te voeren, zoals mijnbouw cryptocurrency, het stelen van gevoelige informatie en het afsluiten van diensten. Aikido zei dat het eerste pakketcompromis werd gedetecteerd op 6 juni 2025, om 21:33 uur GMT.
De lijst met de getroffen pakketten en de getroffen versies is hieronder –
- @Gluestack-ui/Utils-versie 0.1.16 (101 downloads)
- @Gluestack-ui/Utils versie 0.1.17 (176 downloads)
- @react-native-aria/knopversie 0.2.11 (174 downloads)
- @react-native-aria/selectievakje versie 0.2.11 (577 downloads)
- @react-native-aria/combobox versie 0.2.8 (167 downloads)
- @react-native-aria/openbaarmakingsversie 0.2.9 (nvt)
- @react-native-aria/focusversie 0.2.10 (951 downloads)
- @react-native-aria/interacties versie 0.2.17 (420 downloads)
- @react-native-aria/listbox versie 0.2.10 (171 downloads)
- @react-native-aria/menu-versie 0.2.16 (54 downloads)
- @react-native-aria/overlay-versie 0.3.16 (751 downloads)
- @React-Native-ARIA/Radio-versie 0.2.14 (570 downloads)
- @React-Native-Aria/Slider-versie 0.2.13 (264 downloads)
- @React-Native-Aria/Switch-versie 0.2.5 (56 downloads)
- @React-Native-Aria/Tabs versie 0.2.14 (170 downloads)
- @react-native-aria/toggle versie 0.2.12 (589 downloads)
- @react-native-aria/utils versie 0.2.13 (341 downloads)
Bovendien is de kwaadwillende code die in de pakketten is geïnjecteerd vergelijkbaar met de externe toegang Trojan die werd afgeleverd na het compromis van een ander NPM-pakket “Rand-user-Agent” vorige maand, wat aangeeft dat dezelfde dreigingsacteurs achter de activiteit kunnen staan.
De Trojan is een bijgewerkte versie die twee nieuwe opdrachten ondersteunt om systeeminformatie te oogsten (“SS_INFO”) en het openbare IP -adres van de host (“SS_IP”).
De projectbeheerders hebben sindsdien het toegangstoken ingetrokken en de getroffen versies gemarkeerd als verouderd. Gebruikers die mogelijk de kwaadaardige versies hebben gedownload, worden aanbevolen om terug te keren naar een veilige versie om mogelijke bedreigingen te verminderen.
“De potentiële impact is enorm in schaal en het persistentiemechanisme van de malware is met name zorgwekkend – aanvallers behouden de toegang tot geïnfecteerde machines, zelfs nadat onderhouders de pakketten bijwerken,” zei het bedrijf in een verklaring.
Kwaadaardige pakketten gevonden op NPM ontketende destructieve kenmerken
De ontwikkeling komt wanneer Socket twee malafide NPM-pakketten ontdekte-Express-API-Sync en System-Health-Sync-API-die zich vermomden als legitieme hulpprogramma’s maar implantaat ruitenwissers die volledige applicatie-mappen kunnen verwijderen.
Gepubliceerd door het account “BOTSAILER” (e -mail: anupm019@gmail (.) Com), werden de pakketten respectievelijk 112 en 861 keer gedownload voordat ze werden verwijderd.
De eerste van de twee pakketten, Express-API-Sync, beweert een uitdrukkelijke API te zijn om gegevens tussen twee databases te synchroniseren. Eenmaal geïnstalleerd en toegevoegd door een nietsvermoedende ontwikkelaar bij hun toepassing, activeert het de uitvoering van kwaadaardige code bij het ontvangen van een HTTP-verzoek met een hard gecodeerde sleutel “Default_123”.
Na ontvangst van de sleutel voert het de UNIX -opdracht “RM -rf *” uit om alle bestanden recursief te verwijderen uit de huidige map en hieronder, inclusief broncode, configuratiebestanden, activa en lokale databases.
Het andere pakket is een stuk geavanceerder en fungeert zowel als een informatie -stealer als een ruitenwisser, terwijl het ook zijn deletie -opdrachten wijzigt op basis van of het besturingssysteem Windows (“RD /S /Q.”) Of Linux (“RM -rf *”) is.
“Waar Express-API-Sync een bot instrument is, is systeem-Health-Sync-API een Zwitsers zakmes van vernietiging met ingebouwde inlichtingenverzameling,” zei beveiligingsonderzoeker Kush Pandya.
Een opmerkelijk aspect van het NPM-pakket is dat het e-mail gebruikt als een geheime communicatiekanaal, die verbinding maakt met de door aanvallers gecontroleerde mailbox via hard gecodeerde SMTP-referenties. Het wachtwoord wordt verdoezeld met behulp van Base64-codering, terwijl de gebruikersnaam wijst op een e-mailadres met een domein dat is geassocieerd met een onroerendgoedagentschap gevestigd in India (“Auth@CoreHomes (.) In”).
“Elk belangrijke gebeurtenis leidt tot een e -mail naar anupm019@gmail (.) Com,” zei Socket. “De e -mail omvat de volledige backend -URL, die mogelijk interne infrastructuurgegevens, ontwikkelingsomgevingen of verzamelservers blootlegt die niet publiekelijk bekend mogen zijn.”
Het gebruik van SMTP voor data -exfiltratie is stiekem, omdat de meeste firewalls geen uitgaande e -mailverkeer blokkeren en kwaadaardig verkeer mogelijk maken om te versmelten met legitieme e -mails voor applicaties.
Bovendien verzet het pakket eindpunten op “/_/systeem/gezondheid” en “/_/sys/onderhoud” om de platformspecifieke vernietigingsopdrachten te ontketenen, waarbij de laatste als een fallback-mechanisme fungeert voor het geval de hoofddeur wordt gedetecteerd en geblokkeerd.
“Aanvallers verifiëren eerst de achterdeur via Get/_/System/Health die de hostnaam en status van de server retourneert,” legde Pandya uit. “Ze kunnen testen met een droge-run-modus als ze worden geconfigureerd, vernietigen vervolgens vernietiging met post/_/systeem/gezondheid of het back-uppost/_/sys/onderhouds eindpunt met de sleutel” HelloWorld. “
De ontdekking van de twee nieuwe NPM -pakketten laat zien dat dreigingsacteurs zich beginnen te vertakken dan het gebruik van nepbibliotheken voor informatie en cryptocurrency diefstal om zich te concentreren op systeemsabotage – iets van een ongebruikelijke ontwikkeling omdat ze geen financiële voordelen bieden.
PYPI -pakket vormt als Instagram -groeipool om referenties te oogsten
Het komt ook als het Software Supply Chain-beveiligingsbedrijf een nieuwe Python-gebaseerde in Credential Harvester IMAD213 ontdekte op de Python Package Index (PYPI) -repository die beweert een instagramgroeipool te zijn. Volgens statistieken gepubliceerd op Pepy.Tech is het pakket 3.242 keer gedownload.
“De malware maakt gebruik van base64-codering om zijn ware aard te verbergen en implementeert een externe kill-schakelaar door een netlify-gehost besturingsbestand,” zei Pandya. “Wanneer het wordt uitgevoerd, vraagt het gebruikers om Instagram-referenties en zendt het ze uit naar tien verschillende BOT-services van derden terwijl hij doet alsof hij de volger-tellingen boost.”
De Python-bibliotheek is geüpload door een gebruiker genaamd IM_AD__213 (AKA IMAD-213), die op 21 maart 2025 bij het register kwam, en heeft drie andere pakketten geüpload die Facebook, Gmail, Twitter en APIS-aanwijzingen (DDOS) kunnen oogsten met Ddos) Apache-banken met Ddos) Apache-pachesplatforms en API’s met DDOS) (Poppo213).
De lijst met pakketten, die nog steeds beschikbaar zijn om te downloaden van PYPI, is hieronder –
- IMAD213 (3.242 downloads)
- Taya (930 downloads)
- A-B27 (996 downloads)
- Poppo213 (3.165 downloads)
In een GitHub README.MD-document gepubliceerd door IMAD-213 ongeveer twee dagen voordat “IMAD213” werd geüpload naar PYPI, beweert de dreigingsacteur dat de bibliotheek voornamelijk is voor “educatieve en onderzoeksdoeleinden” en merkt op dat ze niet verantwoordelijk zijn voor enig misbruik.
De GitHub -beschrijving bevat ook een “misleidende veiligheidstip”, waarbij gebruikers worden aangespoord om een nep- of tijdelijk Instagram -account te gebruiken om te voorkomen dat ze problemen hebben met hun hoofdaccount.
“Dit creëert valse beveiliging, gebruikers denken dat ze voorzichtig zijn terwijl ze nog steeds geldige referenties overhandigen aan de aanvaller,” zei Pandya.
Eenmaal gestart, maakt de malware verbinding met een externe server en leest een tekstbestand (“pass.txt”) en gaat verder verder met de uitvoering als de bestandsinhoud overeenkomt met de tekenreeks “IMAD213”. De kill -switch kan meerdere doeleinden dienen, waardoor de dreigingsacteur kan bepalen wie toegang krijgt om de bibliotheek uit te voeren of elke gedownloade kopie uit te schakelen door eenvoudig de context van het besturingsbestand te wijzigen.
In de volgende stap vraagt de bibliotheek de gebruiker om zijn Instagram -referenties in te voeren, die vervolgens lokaal worden opgeslagen in een bestand met de naam “Credentials.txt” en wordt uitgezonden naar tien verschillende Dubious Bot Service -websites, waarvan sommige linken naar een netwerk van Turkse Instagram -groeipools die waarschijnlijk door dezelfde entiteit worden geëxploiteerd. De domeinen werden geregistreerd in juni 2021.
“De opkomst van deze hagent van de referentie onthult met betrekking tot trends in op sociale media gerichte malware,” zei Socket. “Met tien verschillende BOT -diensten die inloggegevens ontvangen, zien we de vroege stadia van het witwassen van referenties – waar gestolen logins worden gedistribueerd over meerdere diensten om hun oorsprong te verdoezelen.”
