Paquetes maliciosos de Rspack y Vant publicados con tokens NPM robados

Tres paquetes populares de npm, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens robados, lo que permitió la publicación de versiones maliciosas diseñadas para instalar criptomineros. Este ataque a la cadena de suministro, identificado por investigadores de Sonatype y Socket, utilizó el minero XMRig para extraer la criptomoneda Monero.

Detalles del ataque

Los tres paquetes afectados fueron manipulados simultáneamente, lo que afectó a varias versiones:

• @rspack/core: Componente principal del empaquetador de JavaScript Rspack, descargado 394,000 veces por semana.
• @rspack/cli: Herramienta de línea de comandos de Rspack, con 145,000 descargas semanales.
• Vant: Biblioteca de interfaz de usuario para Vue.js, con 46,000 descargas semanales.

El código malicioso se ocultó en archivos clave como support.js y config.js, utilizando scripts de postinstalación para ejecutarse automáticamente tras la instalación. Este malware accedía a la API de geolocalización de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para recopilar información sobre la red de la víctima antes de descargar y ejecutar el binario XMRig desde un repositorio de GitHub.

Impacto y ocultación

El criptominero operaba de manera discreta al limitar el uso de la CPU al 75% de los subprocesos disponibles. En el caso de Vant, el archivo malicioso fue renombrado a /tmp/vant_helper para evitar detección.

Versiones comprometidas

Rspack:

• Versión afectada: 1.1.7
• Solución: Actualizar a 1.1.8 o versiones posteriores.

Vant:

• Versiones afectadas: 2.13.3 a 2.13.5, 3.6.13 a 3.6.15, y 4.9.11 a 4.9.14.
• Solución: Actualizar a 4.9.15 o posteriores.

Respuesta de los desarrolladores


Ambos proyectos confirmaron el compromiso de sus cuentas npm y emitieron disculpas públicas:

• Rspack: "El 19/12/2024 detectamos que nuestro paquete fue atacado mediante un token npm robado. Hemos lanzado una versión limpia y tomado medidas adicionales de seguridad."
• Vant: "Nuestro token npm fue comprometido, lo que resultó en la publicación de varias versiones maliciosas. Pedimos disculpas y hemos reforzado nuestras prácticas de seguridad."

Contexto de otros ataques

Este incidente sigue a otros compromisos recientes de la cadena de suministro, como:

• LottieFiles: Enfocado en activos de criptomonedas.
• Ultralytics: Utilizó recursos de hardware de usuarios para criptominería.

Recomendaciones

Para protegerse contra ataques similares:

• Actualice sus dependencias: Verifique y actualice los paquetes a las versiones seguras mencionadas.
• Implemente monitoreo de seguridad: Use herramientas que detecten código malicioso en dependencias.
• Adopte buenas prácticas de seguridad: Limite los permisos de tokens y proteja las credenciales de acceso.

La protección contra ataques a la cadena de suministro requiere una vigilancia constante y el compromiso de los desarrolladores y usuarios para salvaguardar el ecosistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login