- Um mantenedor de pacotes da NPM foi vítima de um ataque de phishing
- Os atacantes acessaram pacotes e os atualizaram para transportar malware
- A maioria dos programas antivírus ainda não está sinalizando corretamente a DLL maliciosa
Vários pacotes populares da NPM com milhões de downloads semanais foram direcionados, e um usado como uma plataforma de lançamento para implantação de malware, quando seu mantenedor foi vítima de um ataque de phishing.
Jounqin é um desenvolvedor de software que mantém o Prettier de Eslint-Config, Eslint-Plugin, Synckit, @PKGR/Core e Napi-Postinstall.
Esses pacotes ajudam a integrar e simplificar a formatação de código com as tarefas mais bonitas e ESLint, gerenciar as tarefas assíncronas para sincronizar no Node.js, lidar com instalações binárias nativas e suportar utilitários principais para agrupar fluxos de trabalho.
Publicando uma versão limpa
Prettier é uma ferramenta de formatação de código que aplica estilo consistente, reformatando automaticamente o código -fonte. O ESLint, por outro lado, é uma ferramenta de análise de código estática que verifica o JavaScript e o código TypeScript quanto a bugs, problemas de estilo e possíveis falhas de segurança sem executar o código.
Eles receberam recentemente um e -mail que falsificou a conta support@npmjs.com e que pediu que “verificassem” sua conta. Eles fizeram isso e, assim, deram aos atacantes suas credenciais de login. Quando os atacantes obtiveram acesso, eles o usaram para instalar as versões 8.10.1, 9.1.1, 10.1.6 e 10.1.7 do pacote Eslint-Config-Prelettier. A comunidade viu rapidamente que algo estava errado e notificou o desenvolvedor.
Foi determinado que a versão maliciosa executa um script pós -instalação assim que for instalado. Esse script tenta executar uma DLL através do processo RunDll32 Windows System, que agora está sendo sinalizado como um Trojan.
A maioria dos programas antivírus ainda não está sinalizando esse .dll como malware. Até agora, apenas 19 dos 72 motores estão detectando essa DLL como maliciosa.
“Eu excluí esse token da NPM e publicarei uma nova versão o mais rápido possível”, disse Jounqin depois de perceber que eles foram comprometidos. “Obrigado a todos, e desculpe pela minha negligência.”
Aqui está uma lista dos pacotes maliciosos que devem ser evitados:
Versões mais impressionantes de Eslint-Config 8.10.1, 9.1.1, 10.1.6 e 10.1.7.
Eslint-Plugin-Gretetier Versões 4.2.2 e 4.2.3.
Synckit versão 0.11.9
@PKGR/Core Version 0.2.8
Napi-Postinstall Versão 0.3.1
Via BleepingComputer
Fique conectado