Drei beliebte npm-Pakete, @rspack/core, @rspack/cli und Vant, wurden durch gestohlene npm-Account-Tokens kompromittiert, so dass Bedrohungsakteure bösartige Versionen veröffentlichen konnten, die Kryptominer installierten.
Bei dem Angriff auf die Lieferkette, der sowohl von Sonatype- als auch von Socket-Forschern entdeckt wurde, wurde der Kryptowährungs-Miner XMRig auf kompromittierten Systemen eingesetzt, um die schwer nachweisbare Kryptowährung Monero zu schürfen.
Darüber hinaus entdeckte Sonatype, dass alle drei npm-Pakete am selben Tag der identischen Kompromittierung zum Opfer fielen und mehrere Versionen betroffen waren.
Rspack ist ein hochleistungsfähiger JavaScript-Bündler, der in Rust geschrieben wurde und für die Erstellung und Bündelung von JavaScript-Projekten verwendet wird.
Bei den beiden betroffenen Paketen handelt es sich um die Kernkomponente und die Befehlszeilenschnittstelle (CLI), die wöchentlich 394.000 bzw. 145.000 Mal auf npm heruntergeladen wurden.
Vant ist eine leichtgewichtige, anpassbare Vue.js UI-Bibliothek, die auf die Entwicklung mobiler Webanwendungen zugeschnitten ist und vorgefertigte, wiederverwendbare UI-Komponenten bietet. Mit 46.000 wöchentlichen Downloads auf npm ist sie auch relativ beliebt.
Kryptomining-Aktivität
Der bösartige Code ist in der Datei "support.js" in @rspack/core und in der Datei "config.js" in "@rspack/cli" versteckt und holt sich seine Konfigurations- und Command-and-Control-Anweisungen (C2) von einem externen Server.
Die Malware nutzt das Postinstall-Skript von npm zur automatischen Ausführung bei der Paketinstallation.
Abruf des Miners von einer externen Adresse
Abruf des Miners von einer externen Adresse
Quelle: Sonatype
Sobald er ausgeführt wird, ruft er den geografischen Standort und die Netzwerkdetails des Systems des Opfers ab.
"Dieser Aufruf greift auf die Geolocation-API unter https://ipinfo.io/json zu und sammelt potenziell IP-Adressen, geografische Standorte und andere Netzwerkdetails über das System des Opfers", erklärt Socket.
"Solche Erkundungen werden oft dazu genutzt, um Angriffe auf den Standort oder das Netzwerkprofil des Nutzers abzustimmen.
Die XMRig-Binärdatei wird von einem GitHub-Repository heruntergeladen. Für das kompromittierte Vant-Paket wird es in "/tmp/vant_helper" umbenannt, um seinen Zweck zu verschleiern und sich in das Dateisystem einzufügen.
Bei der Kryptomining-Aktivität werden Ausführungsparameter verwendet, die die CPU-Nutzung auf 75% der verfügbaren Prozessor-Threads beschränken, wodurch ein gutes Gleichgewicht zwischen Kryptomining-Leistung und Umgehung erreicht wird.
Ax Sharma von Sonatype sagt, dass die folgende Monero-Adresse in den kompromittierten Rspack-Paketen gefunden wurde:
475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j
Reaktion auf den Kompromiss
Sowohl Rspack als auch Vant bestätigten, dass ihre NPM-Konten kompromittiert wurden, veröffentlichten neue, bereinigte Versionen ihrer Pakete und entschuldigten sich bei der Community dafür, dass sie es versäumt hatten, die Lieferkette zu schützen.
"Am 19.12.2024, 02:01 (UTC), haben wir festgestellt, dass unsere npm-Pakete @rspack/core und @rspack/cli böswillig angegriffen wurden. Der Angreifer hat v1.1.7 mit einem kompromittierten npm-Token veröffentlicht, der bösartigen Code enthielt. Wir haben sofort gehandelt, als wir das Problem entdeckten", erklärten die Rspack-Entwickler.
"Diese Version behebt ein Sicherheitsproblem. Wir haben herausgefunden, dass der npm-Token eines unserer Teammitglieder gestohlen wurde und dazu benutzt wurde, mehrere Versionen mit Sicherheitslücken zu veröffentlichen. Wir haben Maßnahmen ergriffen, um das Problem zu beheben und die neueste Version wieder zu veröffentlichen", schreibt der Vant-Entwickler.
Die kompromittierte Rspack-Version, die es zu vermeiden gilt, ist 1.1.7, die den bösartigen Krypto-Mining-Code enthält.
Den Benutzern wird empfohlen, auf Version 1.1.8 oder höher zu aktualisieren. Die Version vor der bösartigen Version, v1.1.6, ist ebenfalls sicher, aber die neueste Version hat zusätzliche Sicherheitsmaßnahmen implementiert.
Was Vant betrifft, so sollten mehrere kompromittierte Versionen vermieden werden. Diese sind: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13, und 4.9.14.
Es wird empfohlen, auf Vant v4.9.15 und neuer zu aktualisieren, da es sich hierbei um eine sichere Neuveröffentlichung der neuesten Version der Software handelt.
Dieser Vorfall folgt auf andere jüngste Kompromittierungen der Lieferkette, wie die von LottieFiles, die es auf die Kryptowährungsbestände der Nutzer abgesehen hatten, und Ultralytics, das die Hardwareressourcen der Nutzer für das Kryptomining entführte.
