Drei beliebte npm-Pakete, @rspack/core, @rspack/cli und Vant, wurden durch gestohlene npm-Account-Tokens kompromittiert, so dass Bedrohungsakteure bösartige Versionen veröffentlichen konnten, die Kryptominer installierten.
The supply chain attack, spotted by both Sonatype and Socket researchers, deployed the XMRig cryptocurrency miner on compromised systems for mining the hard-to-trace Monero privacy cryptocurrency.
Darüber hinaus entdeckte Sonatype, dass alle drei npm-Pakete am selben Tag der identischen Kompromittierung zum Opfer fielen und mehrere Versionen betroffen waren.
Rspack ist ein hochleistungsfähiger JavaScript-Bündler, der in Rust geschrieben wurde und für die Erstellung und Bündelung von JavaScript-Projekten verwendet wird.
Bei den beiden betroffenen Paketen handelt es sich um die Kernkomponente und die Befehlszeilenschnittstelle (CLI), die wöchentlich 394.000 bzw. 145.000 Mal auf npm heruntergeladen wurden.
Vant ist eine leichtgewichtige, anpassbare Vue.js UI-Bibliothek, die auf die Entwicklung mobiler Webanwendungen zugeschnitten ist und vorgefertigte, wiederverwendbare UI-Komponenten bietet. Mit 46.000 wöchentlichen Downloads auf npm ist sie auch relativ beliebt.
Kryptomining-Aktivität
Der bösartige Code ist in der Datei "support.js" in @rspack/core und in der Datei "config.js" in "@rspack/cli" versteckt und holt sich seine Konfigurations- und Command-and-Control-Anweisungen (C2) von einem externen Server.
Die Malware nutzt das Postinstall-Skript von npm zur automatischen Ausführung bei der Paketinstallation.
Quelle: Sonatype
Sobald er ausgeführt wird, ruft er den geografischen Standort und die Netzwerkdetails des Systems des Opfers ab.
“This call accesses the geolocation API at https://ipinfo.io/json, potentially gathering IP addresses, geographic location, and other network details about the victim’s system,” explains Socket.
"Solche Erkundungen werden oft dazu genutzt, um Angriffe auf den Standort oder das Netzwerkprofil des Nutzers abzustimmen.
Die XMRig-Binärdatei wird von einem GitHub-Repository heruntergeladen. Für das kompromittierte Vant-Paket wird es in "/tmp/vant_helper" umbenannt, um seinen Zweck zu verschleiern und sich in das Dateisystem einzufügen.
Bei der Kryptomining-Aktivität werden Ausführungsparameter verwendet, die die CPU-Nutzung auf 75% der verfügbaren Prozessor-Threads beschränken, wodurch ein gutes Gleichgewicht zwischen Kryptomining-Leistung und Umgehung erreicht wird.
Ax Sharma von Sonatype sagt, dass die folgende Monero-Adresse in den kompromittierten Rspack-Paketen gefunden wurde:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1jReaktion auf den Kompromiss
Sowohl Rspack als auch Vant bestätigten, dass ihre NPM-Konten kompromittiert wurden, veröffentlichten neue, bereinigte Versionen ihrer Pakete und entschuldigten sich bei der Community dafür, dass sie es versäumt hatten, die Lieferkette zu schützen.
“On 12/19/2024, 02:01 (UTC), we discovered that our npm packages @rspack/core and @rspack/cli were maliciously attacked. The attacker released v1.1.7 using a compromised npm token, which contained malicious code. We took immediate action upon discovering the issue,” explained the Rspack developers.
“This release is to fix a security issue. We found that one of our team members’ npm token was stolen and used to release multiple versions with security vulnerabilities. We have taken measures to fix it and re-released the latest version,” posted the Vant developer.
Die kompromittierte Rspack-Version, die es zu vermeiden gilt, ist 1.1.7, die den bösartigen Krypto-Mining-Code enthält.
Users are recommended to upgrade to v1.1.8 or later. The version before the malicious one, v1.1.6, is also safe, but the latest has implemented additional security measures.
Regarding Vant, multiple compromised versions should be avoided. These are: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13, and 4.9.14.
Users are recommended to upgrade to Vant v4.9.15 and newer, which is a safe re-release of the latest version of the software.
This incident follows other recent supply chain compromises, like those on LottieFiles, which targeted people’s cryptocurrency assets, and Ultralytics, which hijacked users’ hardware resources for cryptomining.
