Bọn tội phạm mạng xâm phạm một duy trì ESLint tài khoản để đăng nhập thẻ ăn cắp

Computer Security News

Tin tặc xâm nhập một duy trì ESLint tài khoản và tải lên gói độc hại cố gắng ăn cắp đăng nhập thẻ từ npm phần mềm registry.

Các gói bị ảnh hưởng được lưu trữ trên npm là:

  • eslint – phạm vi Phiên bản 3.7.2 o, một thư viện phân tích phạm vi sử dụng bởi các phiên bản cũ hơn của eslint, và các phiên bản mới nhất của babel-eslint và webpack.
  • Eslint – config-eslint Phiên bản 5.0.2 là một cấu hình được sử dụng trong nội bộ đội tuyển ESLint.

Đang được cài đặt, các gói hôi sẽ tải về và thực thi mã từ pastebin.com được thiết kế để lấy nội dung của người dùng .npmrc tập tin và gửi dữ liệu đến các hacker. Thông thường, tệp này chứa các truy cập thẻ cho xuất bản npm.

“Những kẻ tấn công lần package.json trong cả hai-escope@3.7.2 eslint và eslint-config-eslint@5.0.2, thêm một postinstall kịch bản để chạy build.js. Kịch bản này tải một kịch bản từ Pastebin và evals nội dung của nó. “ Henry Zhu nói.

“Kịch bản chiết xuất từ _authToken từ một người sử dụng .npmrc và gửi nó đến histatsstatcounter bên trong tiêu đề Referer.”

May mắn thay, các maintainers gỡ bỏ gói độc quyền sau khi họ đã được tìm thấy và các nội dung trên pastebin.com được đưa xuống.

“Ngày 12 tháng 7 năm 2018, kẻ xâm nhập là npm tài khoản của một duy trì ESLint và công bố các phiên bản độc hại của các eslint-phạm vi và eslint– config-eslint gói để các npm đăng ký. Về cài đặt, độc hại gói tải về và thực thi mã từ pastebin.com gửi nội dung của người dùng .npmrc tập tin để kẻ tấn công.” các ESLint của cố vấn an ninh lần đọc.

Một .npmrc tập tin thường có quyền truy cập thẻ cho xuất bản npm. Các phiên bản của gói phần mềm độc hại có-scope@3.7.2 eslint và eslint-config-eslint@5.0.2, cả hai đều đã được chưa được công bố từ npm. Pastebin.com dán liên kết trong những gói này cũng đã được lấy.”

Mặc dù thực tế rằng npm đăng nhập thẻ bị đánh cắp bởi gói hôi không bao gồm mật khẩu của người dùng npm, npm đã lựa chọn để thu hồi thẻ có thể bị ảnh hưởng. Ngoài ra, người sử dụng cài đặt các gói độc hại nên Cập Nhật npm.

“Chúng tôi có bây giờ vô hiệu tất cả các npm thẻ phát hành trước năm 2018-07-12 12:30 UTC, loại bỏ khả năng bị đánh cắp thẻ được sử dụng cố. Đây là hoạt động cuối cùng hoạt động ngay lập tức chúng tôi mong đợi để có ngày hôm nay.” npm sự cố báo cáo tiểu bang.

The maintainers đã có thể xác định các tài khoản đã bị xâm phạm do thực tế là ower có tái sử dụng cùng một mật khẩu trên nhiều tài khoản và không được kích hoạt xác thực 2 yếu tố trên tài khoản npm của họ.

ESLint đã phát hành eslint – phạm vi Phiên bản 3.7.3 và eslint – config-eslint Phiên bản 5.0.3.


Leave a Reply

Your email address will not be published. Required fields are marked *