Reikšminga tiekimo grandinės ataka pasiekė NPM po 16 populiarių „GlueStack“ „React-Native-Aria“ paketų su daugiau nei 950 000 savaitinių atsisiuntimų, kad būtų įtrauktas kenkėjiškas kodas, kuris veikia kaip nuotolinės prieigos trojanas (RAT).
„Bleepingcomputer“ nustatė, kad kompromisas prasidėjo birželio 6 d. 16:33 EST, kai NPM buvo paskelbta nauja „React-Native-Aria“/„Focus“ paketo versija. Nuo tada 16 iš 20 „GlueStack React-Native-Aria“ paketų buvo pažeista NPM, o grėsmės veikėjams dar prieš dvi valandas paskelbė naują versiją.
Šaltinis: „BleepingComputer“
Tiekimo grandinės ataką atrado kibernetinio saugumo įmonė „Aikido Security“, kuri atrado užmaskuotą kodą, įšvirkštą į lib/index.js Failas šiems paketams:
| Paketo pavadinimas | Versija | Savaitės atsisiuntimai |
| „React-Native-Aria“/mygtukas | 0.2.11 | 51 000 |
| „React-Native-Aria“/„CheckBox“ | 0.2.11 | 81 000 |
| reaguoti-gimtoji-aria/combobox | 0.2.10 | 51 000 |
| reaguoti-gimtoji-aria/atskleidimas | 0.2.9 | 3 |
| reaguoti-gimtoji-arija/fokusas | 0.2.10 | 100 000 |
| reaguoti-gimtoji-arija/sąveika | 0.2.17 | 125 000 |
| „React-Native-Aria“/„ListBox“ | 0.2.10 | 51 000 |
| reaguoti-gimtoji-aria/meniu | 0.2.16 | 22 000 |
| reaguoti-gimtoji-arija/perdangas | 0.3.16 | 96 000 |
| reaguoti-gimtoji-arija/radijas | 0.2.14 | 78 000 |
| reaguoti-gimtoji-aria/jungiklis | 0.2.5 | 477 |
| reaguoti-gimtoji-arija/perjungti | 0.2.12 | 81 000 |
| reaguoti-gimtoji-aria/utils | 0.2.13 | 120 000 |
| „Gluestack-ui“/„Utils“ | 0,1.17 | 55 000 |
| reaguoti-gimtoji-arija/separatorius | 0.2.7 | 65 |
| reaguoti-gimtoji-aria/slankikė | 0.2.13 | 51 000 |
Šie pakuotės yra labai populiarios, turinčios maždaug 960 000 savaitinių atsisiuntimų, todėl tai yra tiekimo grandinės ataka, kuri galėjo turėti plačių pasekmių.
Kenkėjiškas kodas yra smarkiai užmaskuotas ir pridedamas prie paskutinės šaltinio kodo eilutės faile, paminkštintas daugybe tarpų, todėl jis nėra lengvai pastebimas, kai NPM svetainėje naudojamas „Code Viewer“.
Šaltinis: „BleepingComputer“
Aikido sakė „BleepingComputer“, kad kenksmingas kodas yra beveik identiškas nuotolinės prieigos trojanui kitame NPM kompromise, kurį jie atrado praėjusį mėnesį.
Ankstesnės kampanijos tyrėjo analizė paaiškina, kad nuotolinės prieigos trojanas prisijungs prie užpuolikų komandos ir valdymo serverio ir gaus komandas, kurias reikia vykdyti.
Šios komandos apima:
- CD – Pakeiskite dabartinį darbo katalogą
- ss_dir – Iš naujo nustatyti katalogą į scenarijaus kelią
- SS_FCD:
- ss_upf: f, d – Įkelkite vieną failą F į paskirties vietą D
- SS_UPD: D, DEST – Įkelkite visus failus, esančius D kataloge į paskirties vietą
- SS_STOP – Nustato sustabdymo vėliavą, kad nutrauktų dabartinį įkėlimo procesą
- Bet koks kitas įvestis – Traktuojama kaip apvalkalo komanda, vykdoma per child_process.exec ()
Trojos arklys taip pat atlieka „Windows“ kelio užgrobimą, paruošdamas padirbtą „Python“ kelią (%localAppdata%\ programos \ python \ python3127) į kelio aplinkos kintamąjį, leisdamas kenkėjišką programą tyliai panaikinti teisėtą „Python“ ar „Pip“ komandas, kad būtų galima vykdyti kenksmingus dvejetas.
„Aikido Sercurity“ tyrėjas Charlie Eriksenas bandė susisiekti su „GlueStack“ apie kompromisą, sukurdamas „GitHub“ problemas kiekvienoje projekto saugykloje, tačiau šiuo metu nebuvo jokio atsakymo.
„Jokio pakuotės prižiūrėtojų atsakymo (rytas šeštadienį JAV, kuris tiksliai yra tai, kodėl tai vyksta dabar)“, – „Arkido“ pasakojo „Bleepingcomputer“.
„NPM, su kuriuo mes susisiekėme ir pranešėme apie kiekvieną paketą, tai yra procesas, kuris paprastai užtrunka kelias dienas, kol NPM išspręsta.”
„Aikido“ šią ataką taip pat priskiria tiems pačiai grėsmės veikėjams, kurie šią savaitę anksčiau kompromituoja dar keturis NPM paketus, pavadintus „Biatec-Avm-Gas-Station“Ar cputil mazgasAr LFWFINANCE/SDKir lfwfinance/sdk-dev.
„Bleepingcomputer“ susisiekė su „GlueStack“ apie pažeistus paketus, tačiau šiuo metu negavo atsakymo.
Pataisymas reiškė sudėtingus scenarijus, ilgas valandas ir nesibaigiančius gaisro grąžtus. Nebe.
Šiame naujame vadove „Tines“ suskaido, kaip modernūs IT orgai yra lygūs automatizavimui. Greičiau pataisykite, sumažinkite pridėtines išlaidas ir sutelkite dėmesį į strateginį darbą – nereikia jokių sudėtingų scenarijų.
