توسعهدهندگان Rspack اعلام کردهاند که دو بسته npm آنها، @rspack/core و @rspack/cli، در یک حمله زنجیره تأمین نرمافزار مورد نفوذ قرار گرفته و نسخههای مخرب حاوی بدافزار استخراج رمزارز به مخزن رسمی بستهها منتشر شده است.
پس از کشف این موضوع، نسخههای 1.1.7 هر دو کتابخانه از مخزن npm حذف شدند و نسخه امن 1.1.8 منتشر شد.
Rspack بهعنوان جایگزینی برای webpack معرفی شده و یک “باندلر جاوااسکریپت با عملکرد بالا نوشتهشده به زبان Rust” است. این پروژه که در ابتدا توسط ByteDance توسعه یافت، اکنون توسط شرکتهایی مانند Alibaba، Amazon، Discord و Microsoft استفاده میشود.
بستههای npm مذکور، @rspack/core و @rspack/cli، به ترتیب بیش از ۳۰۰,۰۰۰ و ۱۴۵,۰۰۰ دانلود هفتگی دارند که نشاندهنده محبوبیت آنهاست.
تحلیل نسخههای مخرب این دو کتابخانه نشان میدهد که آنها کدی را برای ارتباط با سرور راه دور (با آدرس IP: 80.78.28[.]72) شامل میشوند تا اطلاعات حساس پیکربندی مانند اعتبارنامههای سرویسهای ابری را ارسال کنند. همچنین، با ارسال درخواست HTTP GET به “ipinfo[.]io/json”، جزئیات آدرس IP و موقعیت جغرافیایی را جمعآوری میکنند.
نکته جالب این است که این حمله، آلودگی را به ماشینهای واقع در کشورهای خاصی مانند چین، روسیه، هنگکنگ، بلاروس و ایران محدود میکند.
هدف نهایی این حملات، دانلود و اجرای یک ماینر رمزارز XMRig بر روی میزبانهای لینوکسی آلوده در هنگام نصب بستهها از طریق اسکریپت postinstall مشخصشده در فایل package.json است.
علاوه بر انتشار نسخه جدیدی از این دو بسته بدون کد مخرب، نگهداران پروژه اعلام کردند که تمام توکنهای npm و GitHub موجود را باطل کرده، مجوزهای مخزن و بستههای npm را بررسی کرده و کد منبع را برای هرگونه آسیبپذیری احتمالی ممیزی کردهاند. تحقیقات در مورد علت اصلی سرقت توکنها در حال انجام است.
این حمله نشاندهنده نیاز به اتخاذ تدابیر محافظتی سختگیرانهتر توسط مدیران بستهها برای حفاظت از توسعهدهندگان است، مانند اجرای بررسیهای تأیید هویت، تا از بهروزرسانی به نسخههای تأییدنشده جلوگیری شود.
حمله زنجیره تأمین دیگری نیز بسته npm به نام vant را هدف قرار داده است که بیش از ۴۱,۰۰۰ دانلود هفتگی دارد. مهاجمان نسخههای مخربی مانند 2.13.3 تا 2.13.5 و 3.6.13 تا 4.9.14 را به مخزن npm منتشر کردهاند.
نگهداران پروژه vant اعلام کردند: “ما متوجه شدیم که توکن npm یکی از اعضای تیم ما به سرقت رفته و برای انتشار چندین نسخه با آسیبپذیریهای امنیتی استفاده شده است. ما اقداماتی برای رفع این مشکل انجام داده و آخرین نسخه را مجدداً منتشر کردهایم.”