Trois packages npm populaires, @rspack / core, @rspack/cli et Vant, ont été compromis par des jetons de compte npm volés, permettant aux auteurs de menaces de publier des versions malveillantes qui installaient des cryptomineurs.
L’attaque de la chaîne d’approvisionnement, repérée par les chercheurs de Sonatype et de Socket, a déployé le mineur de crypto-monnaie XMRig sur des systèmes compromis pour exploiter la crypto-monnaie de confidentialité Monero difficile à tracer.
De plus, Sonatype a découvert que les trois packages npm avaient été victimes du même compromis le même jour, affectant plusieurs versions.
Rspack est un bundler JavaScript hautes performances écrit en Rust, utilisé pour créer et regrouper des projets JavaScript.
Les deux packages compromis sont son composant principal et l’outil d’interface de ligne de commande (CLI), téléchargés respectivement 394 000 et 145 000 fois par semaine sur npm.
Vant est une Vue légère et personnalisable.bibliothèque d’interface utilisateur js conçue pour créer des applications Web mobiles, fournissant des composants d’interface utilisateur préconçus et réutilisables. Il est également relativement populaire, recueillant 46 000 téléchargements hebdomadaires sur npm.
Activité de minage de cryptomonnaie
Le code malveillant est caché à l’intérieur du ‘ support.fichier js sur @rspack / core, et dans la configuration.fichier js dans ‘@rspack / cli’, et récupère sa configuration et ses instructions de commande et de contrôle (C2) à partir d’un serveur externe.
Le malware exploite le script de post-installation de npm pour s’exécuter automatiquement lors de l’installation du package.
Une fois en cours d’exécution, il récupère l’emplacement géographique et les détails du réseau du système de la victime.
« Cet appel accède à l’API de géolocalisation à http://ipinfo.io/json, recueillant potentiellement des adresses IP,un emplacement géographique et d’autres détails du réseau sur le système de la victime », explique Socket.
« Une telle reconnaissance est souvent utilisée pour adapter les attaques en fonction de l’emplacement de l’utilisateur ou du profil du réseau. »
Le binaire XMRig est téléchargé à partir d’un référentiel GitHub, et pour le package Vant compromis, il est renommé en ‘/tmp/vant_helper’ pour dissimuler son objectif et se fondre dans le système de fichiers.
L’activité de minage de crypto utilise des paramètres d’exécution qui limitent l’utilisation du processeur à 75% des threads de processeur disponibles, ce qui établit un bon équilibre entre les performances de minage de crypto et l’évasion.
Ax Sharma de Sonatype indique que l’adresse Monero suivante a été trouvée dans les packages Rspack compromis:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1jRéponse au compromis
Rspack et Vant ont tous deux confirmé que leurs comptes NPM avaient été compromis, publiant de nouvelles versions nettoyées de leurs packages et s’excusant auprès de la communauté pour ne pas avoir protégé la chaîne d’approvisionnement.
« Le 19/12/2024, 02: 01 (UTC), nous avons découvert que nos packages npm @rspack/core et @rspack/cli étaient attaqués de manière malveillante. L’attaquant a publié la version 1.1.7 en utilisant un jeton npm compromis, qui contenait du code malveillant. Nous avons pris des mesures immédiates dès la découverte du problème », ont expliqué les développeurs de Rspack.
« Cette version vise à résoudre un problème de sécurité. Nous avons découvert que le jeton npm d’un des membres de notre équipe avait été volé et utilisé pour publier plusieurs versions présentant des failles de sécurité. Nous avons pris des mesures pour y remédier et avons republié la dernière version », a publié le développeur de Vant.
La version compromise de Rspack à éviter est la 1.1.7, qui contient le code de minage de crypto malveillant.
Il est recommandé aux utilisateurs de passer à la version 1.1.8 ou ultérieure. La version antérieure à la version malveillante, v1.1. 6, est également sûre, mais la dernière a mis en place des mesures de sécurité supplémentaires.
En ce qui concerne les Vant, plusieurs versions compromises doivent être évitées. Ce sont: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13, et 4.9.14.
Il est recommandé aux utilisateurs de passer à Vant v4.9.15 et plus récent, qui est une réédition sécurisée de la dernière version du logiciel.
Cet incident fait suite à d’autres compromissions récentes de la chaîne d’approvisionnement, comme celles sur LottieFiles, qui ciblaient les actifs de crypto-monnaie des personnes, et Ultralytics, qui détournaient les ressources matérielles des utilisateurs pour le minage de crypto.