Peneliti keamanan siber telah menemukan beberapa paket cryptocurrency pada registri NPM yang telah dibajak untuk menyedot informasi sensitif seperti variabel lingkungan dari sistem yang dikompromikan.
“Beberapa paket ini telah tinggal di npmjs.com selama lebih dari 9 tahun, dan memberikan fungsionalitas yang sah kepada pengembang blockchain,” kata peneliti Sonatype Ax Sharma. “Namun, […] Versi terbaru dari masing -masing paket ini sarat dengan skrip yang dikalahkan. “
Paket yang terpengaruh dan versi yang dibajaknya tercantum di bawah ini –
- Peta-negara bagian (2.1.8)
- BNB-Javascript-Sdk-Nobroadcast (2.16.16)
- @bithighlander/bitcoin-cash-js-lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @Crosswise-FINANCE1/SDK-V2 (0.1.21)
- @KeepKey/Device-Protocol (7.13.3)
- @veniceswap/uikat (0.65.34)
- @Veniceswap/Eslint-Config-Pancake (1.6.2)
- Babel-preset-travix (1.2.1)
- @travix/ui-tema (1.1.5)
- @CoinMasters/Tipe (4.8.16)
Analisis paket-paket ini oleh perusahaan keamanan rantai pasokan perangkat lunak telah mengungkapkan bahwa mereka telah diracuni dengan kode yang sangat dikalahkan dalam dua skrip yang berbeda: “Paket/Skrip/Launch.js” dan “Paket/Skrip/Diagnostik-Report.js.”
Kode JavaScript, yang dijalankan segera setelah paket diinstal, dirancang untuk memanen data sensitif seperti tombol API, token akses, tombol SSH, dan mengeksfiltrasi mereka ke server jarak jauh (“Eoi2ectd5a5tn1h.m.pipedream (” Eoi2ectd5a5tn1h.m.pipedream ([.]bersih”).
Menariknya, tidak ada repositori GitHub yang terkait dengan perpustakaan yang telah dimodifikasi untuk memasukkan perubahan yang sama, menimbulkan pertanyaan tentang bagaimana aktor ancaman di balik kampanye berhasil mendorong kode berbahaya. Saat ini tidak diketahui apa tujuan akhir kampanye ini.
“Kami berhipotesis penyebab pembajakan menjadi akun pemelihara NPM lama yang dikompromikan baik melalui isian kredensial (di mana aktor ancaman mencoba lagi nama pengguna dan kata sandi yang bocor pada pelanggaran sebelumnya untuk mengkompromikan akun di situs web lain), atau pengambilalihan domain yang sudah kadaluwarsa,” kata Sharma.
“Mengingat waktu bersamaan dari serangan pada beberapa proyek dari pengelola yang berbeda, skenario pertama (pengambilalihan akun pemelihara) tampaknya lebih mungkin dibandingkan dengan serangan phishing yang diatur dengan baik.”
Temuan ini menggarisbawahi perlunya mengamankan akun dengan otentikasi dua faktor (2FA) untuk mencegah serangan pengambilalihan. Mereka juga menyoroti tantangan yang terkait dengan menegakkan perlindungan keamanan seperti itu ketika proyek open-source mencapai akhir kehidupan atau tidak lagi dipertahankan secara aktif.
“Kasus ini menyoroti kebutuhan mendesak untuk meningkatkan langkah-langkah keamanan rantai pasokan dan kewaspadaan yang lebih besar dalam memantau pengembang registrasi perangkat lunak pihak ketiga,” kata Sharma. “Organisasi harus memprioritaskan keamanan pada setiap tahap proses pengembangan untuk mengurangi risiko yang terkait dengan dependensi pihak ketiga.”
