Peneliti cybersecurity telah menandai serangan rantai pasokan yang menargetkan lebih dari selusin paket yang terkait dengan Gluestack untuk memberikan malware.
Malware, diperkenalkan melalui perubahan ke “lib/commonjs/index.js,” memungkinkan penyerang untuk menjalankan perintah shell, mengambil tangkapan layar, dan mengunggah file ke mesin yang terinfeksi, Aikido Security mengatakan kepada Hacker News, yang menyatakan paket ini secara kolektif bertanggung jawab atas hampir 1 juta unduhan mingguan.
Akses yang tidak sah kemudian dapat digunakan untuk melakukan berbagai tindakan tindak lanjut seperti penambangan cryptocurrency, mencuri informasi sensitif, dan bahkan menutup layanan. Aikido mengatakan kompromi paket pertama terdeteksi pada 6 Juni 2025, pada pukul 21:33 GMT.
Daftar paket yang terkena dampak dan versi yang terpengaruh di bawah ini –
- @gluestack-ui/utils versi 0.1.16 (101 unduhan)
- @gluestack-ui/utils versi 0.1.17 (176 unduhan)
- @react-native-aria/tombol versi 0.2.11 (174 unduhan)
- @react-native-aria/centang versi 0.2.11 (577 unduhan)
- @react-native-aria/comboBox versi 0.2.8 (167 unduhan)
- @react-native-aria/pengungkapan versi 0.2.9 (n/a)
- @react-native-aria/fokus versi 0.2.10 (951 unduhan)
- @react-native-aria/interaksi versi 0.2.17 (420 unduhan)
- @react-native-aria/listbox versi 0.2.10 (171 unduhan)
- @React-asli-aria/menu versi 0.2.16 (54 unduhan)
- @react-native-aria/overlay versi 0.3.16 (751 unduhan)
- @react-native-aria/radio versi 0.2.14 (570 unduhan)
- @React-native-Aria/Slider Versi 0.2.13 (264 unduhan)
- @react-native-aria/switch versi 0.2.5 (56 unduhan)
- @react-native-aria/tab versi 0.2.14 (170 unduhan)
- @react-native-aria/sakelar versi 0.2.12 (589 unduhan)
- @react-native-aria/utils versi 0.2.13 (341 unduhan)
Selain itu, kode jahat yang disuntikkan ke dalam paket mirip dengan Trojan akses jarak jauh yang dikirimkan setelah kompromi paket NPM lain “Rand-User-Agent” bulan lalu, yang menunjukkan bahwa aktor ancaman yang sama dapat berada di balik aktivitas tersebut.
Trojan adalah versi terbaru yang mendukung dua perintah baru untuk memanen informasi sistem (“ss_info”) dan alamat IP publik host (“ss_ip”).
Pemelihara proyek sejak itu mencabut token akses dan menandai versi yang terkena dampak sebagai sudah usang. Pengguna yang mungkin telah mengunduh versi jahat disarankan untuk kembali ke versi yang aman untuk mengurangi potensi ancaman.
“Dampak potensial dalam skala besar, dan mekanisme kegigihan malware sangat memprihatinkan – penyerang mempertahankan akses ke mesin yang terinfeksi bahkan setelah pemelihara memperbarui paket,” kata perusahaan itu dalam sebuah pernyataan.
Paket berbahaya yang ditemukan di fitur NPM Unleash Destructive
Pengembangan datang ketika Socket menemukan dua paket NPM nakal-Express-API-Sync dan System-Health-Sync-API-yang menyamar sebagai utilitas yang sah tetapi wiper implan yang dapat menghapus seluruh direktori aplikasi.
Diterbitkan oleh akun “Botsailer” (email: anupm019@gmail[.]com), paket diunduh masing -masing 112 dan 861 kali, sebelum diturunkan.
Yang pertama dari dua paket, Express-API-Sync, mengklaim sebagai API ekspres untuk menyinkronkan data antara dua database. Namun, setelah diinstal dan ditambahkan oleh pengembang yang tidak curiga ke aplikasi mereka, itu memicu pelaksanaan kode berbahaya setelah menerima permintaan HTTP dengan kunci kode keras “default_123.”
Setelah menerima kunci, ia menjalankan perintah UNIX “RM -RF *” untuk menghapus semua file secara rekursif dari direktori saat ini dan di bawah ini, termasuk kode sumber, file konfigurasi, aset, dan database lokal.
Paket lain jauh lebih canggih, bertindak baik sebagai pencuri informasi dan wiper, sementara juga memodifikasi perintah penghapusannya berdasarkan apakah sistem operasi adalah windows (“rd /s /q.”) Atau linux (“rm -rf *”).
“Di mana Express-API-Sync adalah instrumen tumpul, sistem-kesehatan-sink-API adalah pisau perusakan tentara Swiss dengan pertemuan intelijen bawaan,” kata peneliti keamanan Kush Pandya.
Aspek penting dari paket NPM adalah bahwa ia menggunakan email sebagai saluran komunikasi terselubung, yang menghubungkan ke kotak surat yang dikendalikan oleh penyerang melalui kredensial SMTP yang dikodekan. Kata sandi dikaburkan menggunakan encoding base64, sedangkan nama pengguna menunjuk ke alamat email dengan domain yang terkait dengan agen real estat yang berbasis di India (“auth@corehomes[.]di dalam”).
“Setiap acara yang signifikan memicu email ke anupm019@gmail[.]com, “kata Socket.” Email itu mencakup URL backend lengkap, berpotensi memperlihatkan detail infrastruktur internal, lingkungan pengembangan, atau server pementasan yang seharusnya tidak diketahui secara publik. “
Penggunaan SMTP untuk exfiltration data licik karena kebanyakan firewall tidak memblokir lalu lintas email keluar, dan memungkinkan lalu lintas jahat untuk berbaur dengan email aplikasi yang sah.
Selain itu, titik akhir Paket Resisters di “/_/System/Health” dan “/_/sys/pemeliharaan” untuk melepaskan perintah penghancuran khusus platform, dengan yang terakhir bertindak sebagai mekanisme fallback jika pintu belakang utama terdeteksi dan diblokir.
“Penyerang pertama kali memverifikasi backdoor melalui GET/_/System/Health yang mengembalikan nama host dan status server,” Pandya menjelaskan. “Mereka dapat menguji dengan mode kering-kering jika dikonfigurasi, kemudian menjalankan kehancuran menggunakan post/_/sistem/kesehatan atau pos cadangan/_/sys/titik akhir pemeliharaan dengan kunci” HelloWorld. “
Penemuan dua paket NPM baru menunjukkan bahwa aktor ancaman mulai bercabang di luar menggunakan perpustakaan palsu untuk informasi dan pencurian cryptocurrency untuk fokus pada sabotase sistem – sesuatu dari pengembangan yang tidak biasa karena mereka tidak memberikan manfaat finansial.
Paket PYPI berpose sebagai alat pertumbuhan Instagram untuk memanen kredensial
Ini juga datang ketika perusahaan keamanan rantai pasokan perangkat lunak menemukan pemanen kredensial berbasis Python IMAD213 baru pada repositori Python Package Index (PYPI) yang mengklaim sebagai alat pertumbuhan Instagram. Menurut statistik yang diterbitkan di pepy.tech, paket telah diunduh 3.242 kali.
“Malware menggunakan encoding base64 untuk menyembunyikan sifat aslinya dan mengimplementasikan sakelar pembunuhan jarak jauh melalui file kontrol yang di-host netlify,” kata Pandya. “Ketika dieksekusi, ini meminta pengguna untuk kredensial Instagram, dan menyiarkan mereka ke sepuluh layanan bot pihak ketiga yang berbeda sambil berpura-pura meningkatkan jumlah pengikut.”
The Python library has been uploaded by a user named im_ad__213 (aka IMAD-213), who joined the registry on March 21, 2025, and has uploaded three other packages that can harvest Facebook, Gmail, Twitter, and VK credentials (taya, a-b27) or leverage Apache Bench to target streaming platforms and APIs with distributed denial-of-service (DDoS) attacks (POPPO213).
Daftar paket, yang masih tersedia untuk diunduh dari PYPI, ada di bawah –
- IMAD213 (3.242 unduhan)
- Taya (930 unduhan)
- A-B27 (996 unduhan)
- POPPO213 (3.165 unduhan)
Dalam dokumen readme.md GitHub yang diterbitkan oleh IMAD-213 sekitar dua hari sebelum “IMAD213” diunggah ke PYPI, aktor ancaman mengklaim bahwa perpustakaan terutama untuk “tujuan pendidikan dan penelitian” dan mencatat bahwa mereka tidak bertanggung jawab atas penyalahgunaan apa pun.
Deskripsi GitHub juga mencakup “tip keselamatan menipu,” mendesak pengguna untuk memanfaatkan akun Instagram palsu atau sementara untuk menghindari kehabisan masalah dengan akun utama mereka.
“Ini menciptakan keamanan palsu, pengguna berpikir mereka berhati -hati sambil tetap menyerahkan kredensial yang valid kepada penyerang,” kata Pandya.
Setelah diluncurkan, malware terhubung ke server eksternal dan membaca file teks (“pass.txt”) dan melanjutkan lebih lanjut dengan eksekusi hanya jika konten file cocok dengan string “imad213.” Sakelar Kill dapat melayani berbagai tujuan, memungkinkan aktor ancaman untuk menentukan siapa yang mendapatkan akses untuk menjalankan perpustakaan atau mematikan setiap salinan yang diunduh hanya dengan mengubah konteks file kontrol.
Pada langkah berikutnya, perpustakaan meminta pengguna untuk memasukkan kredensial Instagram mereka, yang kemudian disimpan secara lokal dalam file bernama “kredensials.txt” dan disiarkan ke sepuluh situs web layanan bot yang meragukan, beberapa di antaranya tautan ke jaringan alat pertumbuhan Instagram Turki yang kemungkinan dioperasikan oleh entitas yang sama. Domain didaftarkan pada Juni 2021.
“Munculnya pemanen kredensial ini mengungkapkan tentang tren malware yang ditargetkan media sosial,” kata Socket. “Dengan sepuluh layanan bot yang berbeda menerima kredensial, kami melihat tahap awal pencucian kredensial – di mana login curian didistribusikan di berbagai layanan untuk mengaburkan asal mereka.”
