Pengembang Rspack telah mengungkapkan bahwa dua paket npm mereka, @rspack/core dan @rspack/cli, telah disusupi dalam serangan rantai pasokan perangkat lunak yang memungkinkan pelaku jahat mempublikasikan versi berbahaya ke registri paket resmi dengan malware penambangan mata uang kripto.
Setelah penemuan tersebut, versi 1.1.7 dari kedua perpustakaan telah dibatalkan publikasinya dari registri npm. Versi aman terbaru adalah 1.1.8.
“Mereka dirilis oleh penyerang yang memperoleh akses penerbitan npm tidak sah, dan berisi skrip berbahaya,” kata perusahaan keamanan rantai pasokan perangkat lunak Socket dalam sebuah analisis.
Rspack disebut sebagai alternatif dari webpack, menawarkan “bundle JavaScript berkinerja tinggi yang ditulis dalam Rust.” Awalnya dikembangkan oleh ByteDance, kemudian diadopsi oleh beberapa perusahaan seperti Alibaba, Amazon, Discord, dan Microsoft.
Paket npm yang dimaksud, @rspack/core, dan @rspack/cli, menarik unduhan mingguan masing-masing lebih dari 300.000 dan 145.000, yang menunjukkan popularitas mereka.
Analisis terhadap versi jahat dari kedua perpustakaan telah mengungkapkan bahwa mereka memasukkan kode untuk melakukan panggilan ke server jarak jauh (“80.78.28[.]72”) untuk mengirimkan detail konfigurasi sensitif seperti kredensial layanan cloud, sekaligus mengumpulkan alamat IP dan detail lokasi dengan membuat permintaan HTTP GET ke “ipinfo[.]io/json.”
Menariknya, serangan ini juga membatasi infeksi pada mesin yang berlokasi di negara tertentu, seperti Tiongkok, Rusia, Hong Kong, Belarusia, dan Iran.
Tujuan akhir dari serangan ini adalah untuk memicu pengunduhan dan eksekusi penambang cryptocurrency XMRig pada host Linux yang disusupi setelah instalasi paket melalui skrip pasca-instal yang ditentukan dalam file “package.json”.
“Malware ini dieksekusi melalui skrip postinstall, yang berjalan secara otomatis ketika paket diinstal,” kata Socket. “Hal ini memastikan muatan berbahaya dieksekusi tanpa tindakan pengguna apa pun, dan menanamkan dirinya ke dalam lingkungan target.”
Selain menerbitkan versi baru dari dua paket tanpa kode berbahaya, pengelola proyek mengatakan mereka membatalkan semua token npm dan token GitHub yang ada, memeriksa izin repositori dan paket npm, dan mengaudit kode sumber untuk mengetahui potensi kerentanan. Investigasi terhadap akar penyebab pencurian token sedang dilakukan.
“Serangan ini menyoroti perlunya manajer paket untuk mengadopsi perlindungan yang lebih ketat untuk melindungi pengembang, seperti menerapkan pemeriksaan pengesahan, untuk mencegah pembaruan ke versi yang belum diverifikasi,” kata Socket. “Tapi itu tidak sepenuhnya antipeluru.”
“Seperti yang terlihat dalam serangan rantai pasokan Ultralytics baru-baru ini di ekosistem Python, penyerang mungkin masih dapat menerbitkan versi dengan pengesahan dengan mengkompromikan GitHub Actions melalui peracunan cache.”
