Peretas mengkompromikan akun organisasi GitHub Toptal dan menggunakan aksesnya untuk menerbitkan sepuluh paket berbahaya pada indeks Node Package Manager (NPM).
Paket-paket tersebut termasuk kode mencuri data yang mengumpulkan token otentikasi GitHub dan kemudian menyeka sistem korban.
Toptal adalah pasar bakat lepas yang menghubungkan perusahaan dengan pengembang perangkat lunak, desainer, dan pakar keuangan. Perusahaan ini juga memelihara alat pengembang internal dan sistem desain, terutama Picasso, yang mereka sediakan melalui GitHub dan NPM.
Penyerang membajak organisasi GitHub Toptal pada 20 Juli, dan segera membuat publik semua 73 dari repositori yang tersedia, mengekspos proyek pribadi dan kode sumber.
.png)
Pada hari -hari berikutnya, para penyerang memodifikasi kode sumber Picasso di GitHub untuk memasukkan malware dan menerbitkan 10 paket berbahaya di NPM sebagai Toptal, membuatnya muncul sebagai pembaruan yang sah.
Paket jahat dan versi yang dimodifikasi adalah:
- @toptal/picasso-tailwind (v3.1.0)
- @toptal/picasso-bcharts (v59.1.4)
- @toptal/picasso-shared (v15.1.0)
- @Toptal/Picasso Provider (v5.1.1)
- @toptal/picasso-select (v4.2.2)
- @toptal/picasso-quote (v2.1.7)
- @toptal/picasso-forms (v73.3.2)
- @xene/core (v0.4.1)
- @toptal/picasso-utils (v3.2.0)
- @toptal/picasso-typography (v4.1.4)
Paket jahat diunduh sekitar 5.000 kali sebelum terdeteksi, kemungkinan menginfeksi pengembang dengan malware.
Peretas menyuntikkan kode berbahaya ke dalam file ‘package.json’ untuk menambahkan dua fungsi: mencuri data (skrip ‘preinstall’) dan menghapus host (skrip ‘postInstall’).
Yang pertama mengekstraksi token otentikasi CLI korban dan mengirimkannya ke URL webhook yang dikendalikan oleh penyerang, memberi mereka akses tidak sah ke akun GitHub target.
Setelah mengekspiltrasi data, skrip kedua mencoba menghapus seluruh sistem file dengan ‘sudo rm -rf –no-preserve-root /’ pada sistem linux, atau hapus file secara rekursif dan diam-diam pada windows.
Menurut platform keamanan kode StopkontakToptal mencela paket jahat pada 23 Juli dan dikembalikan ke versi yang aman, tetapi tidak mengeluarkan pernyataan publik untuk mengingatkan pengguna yang telah mengunduh rilis jahat untuk risiko.
Meskipun metode kompromi awal masih belum diketahui, soket mencantumkan beberapa kemungkinan mulai dari ancaman orang dalam hingga serangan phishing yang menargetkan pengembang toptal.
BleepingComputer telah menghubungi Toptal untuk sebuah pernyataan, tetapi kami masih menunggu tanggapan mereka.
Jika Anda telah memasang salah satu paket berbahaya, Anda disarankan untuk kembali ke versi stabil sebelumnya sesegera mungkin.
Deteksi & Respons Cloud untuk Dummies
Mengandung ancaman yang muncul secara real time – sebelum mereka berdampak pada bisnis Anda.
Pelajari bagaimana deteksi dan respons cloud (CDR) memberi tim keamanan keunggulan yang mereka butuhkan dalam panduan praktis dan tidak masuk akal ini.
