Serangan rantai pasokan yang signifikan mencetak NPM setelah 16 paket Gluestack ‘react-native-aria’ yang populer dengan lebih dari 950.000 unduhan mingguan dikompromikan untuk memasukkan kode jahat yang bertindak sebagai Trojan (tikus) akses jarak jauh.
BleepingComputer menentukan bahwa kompromi dimulai pada 6 Juni pukul 16:33 EST, ketika versi baru dari paket reaksi-asli-aria/fokus diterbitkan ke NPM. Sejak itu, 16 dari 20 Gluestack Paket reaksi-asli-aria telah dikompromikan pada NPM, dengan aktor ancaman menerbitkan versi baru baru -baru ini dua jam yang lalu.
Sumber: BleepingComputer
Serangan rantai pasokan ditemukan oleh perusahaan cybersecurity Keamanan Aikido, yang menemukan kode yang dikaburkan disuntikkan ke dalam lib/index.js File untuk paket berikut:
| Nama paket | Versi | Unduhan mingguan |
| React-asli-aria/tombol | 0.2.11 | 51.000 |
| React-asli-aria/kotak centang | 0.2.11 | 81.000 |
| react-native-aria/comboBox | 0.2.10 | 51.000 |
| React-asli-aria/pengungkapan | 0.2.9 | 3 |
| React-asli-aria/fokus | 0.2.10 | 100.000 |
| React-asli-aria/interaksi | 0.2.17 | 125.000 |
| React-native-aria/listbox | 0.2.10 | 51.000 |
| React-asli-aria/menu | 0.2.16 | 22.000 |
| React-asli-aria/overlay | 0.3.16 | 96.000 |
| React-asli-aria/radio | 0.2.14 | 78.000 |
| react-native-aria/switch | 0.2.5 | 477 |
| React-asli-aria/sakelar | 0.2.12 | 81.000 |
| react-native-aria/utils | 0.2.13 | 120.000 |
| Gluestack-UI/Utils | 0.1.17 | 55.000 |
| React-asli-aria/pemisah | 0.2.7 | 65 |
| React-asli-aria/slider | 0.2.13 | 51.000 |
Paket -paket ini sangat populer, dengan sekitar 960.000 unduhan mingguan, menjadikan ini serangan rantai pasokan yang dapat memiliki konsekuensi luas.
Kode berbahaya sangat dikaburkan dan ditambahkan ke baris terakhir kode sumber dalam file, empuk dengan banyak ruang, sehingga tidak mudah terlihat saat menggunakan penampil kode di situs NPM.
Sumber: BleepingComputer
Aikido mengatakan kepada BleepingComputer bahwa kode berbahaya hampir identik dengan Trojan akses jarak jauh Kompromi NPM lain yang mereka temukan bulan lalu.
Analisis peneliti tentang kampanye sebelumnya menjelaskan bahwa Trojan akses jarak jauh akan terhubung ke server dan kontrol perintah penyerang dan menerima perintah untuk dieksekusi.
Perintah ini termasuk:
- CD – Ubah Direktori Kerja Saat Ini
- ss_dir – Reset direktori ke jalur skrip
- SS_FCD: – Direktori Perubahan Paksa ke
- SS_UPF: F, D – Unggah satu file f ke tujuan d
- SS_UPD: D, DEST – Unggah semua file di bawah Direktori D ke Destination Dest
- ss_stop – Menetapkan bendera berhenti untuk mengganggu proses unggahan saat ini
- Input lainnya – Diperlakukan sebagai perintah shell, dieksekusi melalui child_process.exec ()
Trojan juga melakukan pembajakan jalur Windows dengan mempersiapkan jalur Python palsu (%LocalAppData% Program Python Python3127) ke variabel lingkungan jalur, memungkinkan malware secara diam -diam mengesampingkan python yang sah atau perintah pipa untuk mengeksekusi biner jahat.
Peneliti Aikido Sercurity Charlie Eriksen telah berusaha menghubungi Gluestack tentang kompromi dengan menciptakan Masalah GitHub Pada setiap repositori proyek, tetapi belum ada tanggapan saat ini.
“Tidak ada tanggapan dari pemelihara paket (pagi hari pada hari Sabtu di AS yang mungkin tepat mengapa itu terjadi sekarang),” kata Arkido kepada BleepingComputer.
“NPM Kami telah menghubungi dan melaporkan setiap paket, ini adalah proses yang biasanya membutuhkan beberapa hari untuk NPM untuk diatasi.”
Aikido juga mengaitkan serangan ini dengan aktor ancaman yang sama yang mengkompromikan empat paket NPM lainnya awal pekan ini bernama stasiun biatec-avm-gas, CPUTIL-NODE, LFWFINANCE/SDKDan LFWFINANCE/SDK-DEV.
BleepingComputer menjangkau Gluestack tentang paket yang dikompromikan tetapi belum menerima balasan saat ini.
Mengapa timnya membuang manajemen tambalan manual
Patching digunakan untuk berarti skrip yang kompleks, berjam -jam, dan latihan api yang tak ada habisnya. Tidak lagi.
Dalam panduan baru ini, tines meruntuhkan bagaimana modern IT Orgs naik level dengan otomatisasi. Patch lebih cepat, mengurangi overhead, dan fokus pada pekerjaan strategis – tidak ada skrip kompleks yang diperlukan.
