بسته‌های npm مربوط به Rspack در حمله زنجیره تأمین با بدافزار استخراج رمزارز آلوده شدند.

آنچه در این مطلب می‌خوانید:

توسعه‌دهندگان Rspack اعلام کرده‌اند که دو بسته npm آن‌ها، @rspack/core و @rspack/cli، در یک حمله زنجیره تأمین نرم‌افزار مورد نفوذ قرار گرفته و نسخه‌های مخرب حاوی بدافزار استخراج رمزارز به مخزن رسمی بسته‌ها منتشر شده است.

پس از کشف این موضوع، نسخه‌های 1.1.7 هر دو کتابخانه از مخزن npm حذف شدند و نسخه امن 1.1.8 منتشر شد.

Rspack به‌عنوان جایگزینی برای webpack معرفی شده و یک “باندلر جاوااسکریپت با عملکرد بالا نوشته‌شده به زبان Rust” است. این پروژه که در ابتدا توسط ByteDance توسعه یافت، اکنون توسط شرکت‌هایی مانند Alibaba، Amazon، Discord و Microsoft استفاده می‌شود.

بسته‌های npm مذکور، @rspack/core و @rspack/cli، به ترتیب بیش از ۳۰۰,۰۰۰ و ۱۴۵,۰۰۰ دانلود هفتگی دارند که نشان‌دهنده محبوبیت آن‌هاست.

تحلیل نسخه‌های مخرب این دو کتابخانه نشان می‌دهد که آن‌ها کدی را برای ارتباط با سرور راه دور (با آدرس IP: 80.78.28[.]72) شامل می‌شوند تا اطلاعات حساس پیکربندی مانند اعتبارنامه‌های سرویس‌های ابری را ارسال کنند. همچنین، با ارسال درخواست HTTP GET به “ipinfo[.]io/json”، جزئیات آدرس IP و موقعیت جغرافیایی را جمع‌آوری می‌کنند.

نکته جالب این است که این حمله، آلودگی را به ماشین‌های واقع در کشورهای خاصی مانند چین، روسیه، هنگ‌کنگ، بلاروس و ایران محدود می‌کند.

هدف نهایی این حملات، دانلود و اجرای یک ماینر رمزارز XMRig بر روی میزبان‌های لینوکسی آلوده در هنگام نصب بسته‌ها از طریق اسکریپت postinstall مشخص‌شده در فایل package.json است.

علاوه بر انتشار نسخه جدیدی از این دو بسته بدون کد مخرب، نگه‌داران پروژه اعلام کردند که تمام توکن‌های npm و GitHub موجود را باطل کرده، مجوزهای مخزن و بسته‌های npm را بررسی کرده و کد منبع را برای هرگونه آسیب‌پذیری احتمالی ممیزی کرده‌اند. تحقیقات در مورد علت اصلی سرقت توکن‌ها در حال انجام است.

این حمله نشان‌دهنده نیاز به اتخاذ تدابیر محافظتی سخت‌گیرانه‌تر توسط مدیران بسته‌ها برای حفاظت از توسعه‌دهندگان است، مانند اجرای بررسی‌های تأیید هویت، تا از به‌روزرسانی به نسخه‌های تأییدنشده جلوگیری شود.

حمله زنجیره تأمین دیگری نیز بسته npm به نام vant را هدف قرار داده است که بیش از ۴۱,۰۰۰ دانلود هفتگی دارد. مهاجمان نسخه‌های مخربی مانند 2.13.3 تا 2.13.5 و 3.6.13 تا 4.9.14 را به مخزن npm منتشر کرده‌اند.

نگه‌داران پروژه vant اعلام کردند: “ما متوجه شدیم که توکن npm یکی از اعضای تیم ما به سرقت رفته و برای انتشار چندین نسخه با آسیب‌پذیری‌های امنیتی استفاده شده است. ما اقداماتی برای رفع این مشکل انجام داده و آخرین نسخه را مجدداً منتشر کرده‌ایم.”

مطالعه این مطالب را هم توصیه میکنیم

خدمات مورد نیاز شما را با کیفیتی که انتظار دارید و قیمتی که انتظار ندارید.

آیا این مطلب برای شما مفید بود؟
پارس آپتایم :: خرید سرورمجازی ، خرید هاست لینوکس و ویندوز و ثبت دامین از سال 2010