Pelaku ancaman telah diamati mengunggah kesalahan ketik berbahaya dari paket npm yang sah seperti TypeScript-eslint dan @types/node yang telah mengumpulkan ribuan unduhan di registri paket.
Versi palsu, bernama @typescript_eslinter/eslint dan Types-node, dirancang untuk mengunduh trojan dan mengambil muatan tahap kedua.
“Meskipun serangan salah ketik bukanlah hal yang baru, upaya yang dilakukan oleh aktor jahat di kedua perpustakaan ini untuk menjadikannya sebagai perpustakaan yang sah adalah hal yang patut diperhatikan,” kata Ax Sharma dari Sonatype dalam sebuah analisis yang diterbitkan Rabu.
“Selain itu, tingginya jumlah unduhan untuk paket-paket seperti “types-node” adalah tanda-tanda yang menunjukkan bahwa beberapa pengembang mungkin tertipu karena kesalahan ketik ini, dan pelaku ancaman secara artifisial meningkatkan jumlah ini untuk meningkatkan kepercayaan pada komponen berbahaya mereka.”
Daftar npm untuk @typescript_eslinter/eslint, ungkap analisis Sonatype, menunjuk ke repositori GitHub palsu yang dibuat oleh akun bernama “typescript-eslinter”, yang dibuat pada 29 November 2024. Hadir dengan paket ini adalah file bernama “lebih cantik.bat.”
Paket lain yang ditautkan ke akun npm/GitHub yang sama diberi nama @typescript_eslinter/prettier. Ini meniru alat pemformat kode terkenal dengan nama yang sama, tetapi, pada kenyataannya, dikonfigurasi untuk menginstal perpustakaan @typescript_eslint/eslint palsu.
Pustaka berbahaya berisi kode untuk memasukkan “prettier.bat” ke direktori sementara dan menambahkannya ke folder Startup Windows sehingga secara otomatis dijalankan setiap kali mesin di-boot ulang.
“Jauh dari file 'batch', file “prettier.bat” sebenarnya adalah file executable Windows (.exe) yang sebelumnya telah ditandai sebagai trojan dan dropper di VirusTotal,” kata Sharma.
Di sisi lain, paket kedua, tipe-node, digabungkan untuk menjangkau URL Pastebin dan mengambil skrip yang bertanggung jawab untuk menjalankan executable berbahaya yang diberi nama “npm.exe.”
“Kasus ini menyoroti kebutuhan mendesak untuk meningkatkan langkah-langkah keamanan rantai pasokan dan kewaspadaan yang lebih besar dalam memantau pengembang registri perangkat lunak pihak ketiga,” kata Sharma.
Perkembangan ini terjadi ketika ReversingLabs mengidentifikasi beberapa ekstensi berbahaya yang awalnya terdeteksi di Visual Studio Code (VSCode) Marketplace pada Oktober 2024, sebulan setelah satu paket tambahan muncul di registri npm. Paket ini menarik total 399 unduhan.
Daftar ekstensi VSCode jahat, yang sekarang dihapus dari toko, ada di bawah –
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoKomunikasi.Zoom
- ZoomINC.Zoom-Tempat Kerja
- Ethereum.Dukungan Soliditas
- ZoomWorkspace.Zoom
- ethereumorg.Soliditas-Bahasa-untuk-Ethereum
- VitalikButerin.Soliditas-Ethereum
- SolidityFoundation. Soliditas-Ethereum
- EthereumFoundation.Soliditas-Bahasa-untuk-Ethereum
- SOLIDITAS. Soliditas-Bahasa
- GavinWood.SolidityLang
- EthereumFoundation.Soliditas-untuk-Bahasa-Ethereum
“Kampanye dimulai dengan menargetkan komunitas kripto, namun pada akhir Oktober, ekstensi yang dipublikasikan sebagian besar meniru aplikasi Zoom,” kata peneliti ReversingLabs, Lucija Valentić. “Dan setiap ekstensi jahat yang dipublikasikan lebih canggih dari sebelumnya.”
Semua ekstensi serta paket npm ditemukan menyertakan kode JavaScript yang dikaburkan, bertindak sebagai pengunduh untuk muatan tahap kedua dari server jauh. Sifat pasti dari muatan tersebut saat ini tidak diketahui.
Temuan ini sekali lagi menekankan perlunya kehati-hatian saat mengunduh alat dan perpustakaan dari sistem sumber terbuka dan menghindari memasukkan kode berbahaya sebagai ketergantungan dalam proyek yang lebih besar.
“Kemungkinan memasang plugin dan memperluas fungsionalitas IDE menjadikannya target yang sangat menarik bagi pelaku kejahatan,” kata Valentić. “Ekstensi VSCode sering kali diabaikan sebagai risiko keamanan saat dipasang di IDE, namun kompromi pada IDE dapat menjadi titik awal untuk kompromi lebih lanjut terhadap siklus pengembangan di perusahaan.”
