(https://i.imgur.com/vnfsTda.png)
Tres paquetes populares de npm, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens robados, lo que permitió la publicación de versiones maliciosas diseñadas para instalar criptomineros. Este ataque a la cadena de suministro, identificado por investigadores de Sonatype y Socket, utilizó el minero XMRig para extraer la criptomoneda Monero.
Detalles del ataqueLos tres paquetes afectados fueron manipulados simultáneamente, lo que afectó a varias versiones:
- @rspack/core: Componente principal del empaquetador de JavaScript Rspack, descargado 394,000 veces por semana.
- @rspack/cli: Herramienta de línea de comandos de Rspack, con 145,000 descargas semanales.
- Vant: Biblioteca de interfaz de usuario para Vue.js, con 46,000 descargas semanales.
El código malicioso se ocultó en archivos clave como support.js y config.js, utilizando scripts de postinstalación para ejecutarse automáticamente tras la instalación. Este malware accedía a la API de geolocalización de http://ipinfo.io/json para recopilar información sobre la red de la víctima antes de descargar y ejecutar el binario XMRig desde un repositorio de GitHub.
Impacto y ocultaciónEl criptominero operaba de manera discreta al limitar el uso de la CPU al 75% de los subprocesos disponibles. En el caso de Vant, el archivo malicioso fue renombrado a /tmp/vant_helper para evitar detección.
Versiones comprometidasRspack:- Versión afectada: 1.1.7
- Solución: Actualizar a 1.1.8 o versiones posteriores.
Vant:- Versiones afectadas: 2.13.3 a 2.13.5, 3.6.13 a 3.6.15, y 4.9.11 a 4.9.14.
- Solución: Actualizar a 4.9.15 o posteriores.
Respuesta de los desarrolladoresAmbos proyectos confirmaron el compromiso de sus cuentas npm y emitieron disculpas públicas:
- Rspack: "El 19/12/2024 detectamos que nuestro paquete fue atacado mediante un token npm robado. Hemos lanzado una versión limpia y tomado medidas adicionales de seguridad."
- Vant: "Nuestro token npm fue comprometido, lo que resultó en la publicación de varias versiones maliciosas. Pedimos disculpas y hemos reforzado nuestras prácticas de seguridad."
Contexto de otros ataquesEste incidente sigue a otros compromisos recientes de la cadena de suministro, como:
- LottieFiles: Enfocado en activos de criptomonedas.
- Ultralytics: Utilizó recursos de hardware de usuarios para criptominería.
RecomendacionesPara protegerse contra ataques similares:
- Actualice sus dependencias: Verifique y actualice los paquetes a las versiones seguras mencionadas.
- Implemente monitoreo de seguridad: Use herramientas que detecten código malicioso en dependencias.
- Adopte buenas prácticas de seguridad: Limite los permisos de tokens y proteja las credenciales de acceso.
La protección contra ataques a la cadena de suministro requiere una vigilancia constante y el compromiso de los desarrolladores y usuarios para salvaguardar el ecosistema.
Fuente: https://www.bleepingcomputer.com