Una grave violazione della sicurezza ha colpito diversi pacchetti npm popolari, tra cui `@rspack/core`, `@rspack/cli` (Rspack è un bundler JavaScript scritto in Rust) e `Vant` (una libreria personalizzabile per app web mobili). Questi pacchetti sono stati compromessi tramite token npm violati, consentendo agli attaccanti di pubblicare versioni dannose che distribuivano malware per il cryptomining.
Le versioni interessate
Le versioni compromesse di `@rspack/core` e `@rspack/cli` sono state identificate come la versione 1.1.7, mentre le versioni interessate di `Vant` variavano dalla 2.13.3 alla 4.9.14. Il codice dannoso incorporato in questi pacchetti era fortemente offuscato e progettato per distribuire il cryptominer XMRig, che mina la criptovaluta Monero.
Dopo la scoperta, (la versione 1.1.7 dei pacchetti rspack, a differenza delle precedenti, conteneva senza alcun caso d’uso ovvio codice pesantemente offuscato nel file dist/utils/config.js) i ricercatori di Sonatype hanno agito immediatamente per bloccare le versioni dannose e notificare gli utenti.
Sia Rspack che Vant hanno rilasciato un aggiornamento dei propri prodotti.
Impatto e mitigazione
I pacchetti compromessi sono stati scaricati migliaia di volte prima di essere bloccati. Gli utenti che hanno installato queste versioni rischiavano che i loro sistemi vengano utilizzati per il cryptomining non autorizzato. Per mitigare l’impatto, agli utenti è consigliato di:
1. Aggiornare immediatamente alle ultime versioni sicure dei pacchetti interessati (`@rspack/core` e `@rspack/cli` versione 1.1.8, e `Vant` versione 4.9.15).
2. Eseguire regolarmente audit delle dipendenze npm per eventuali segni di compromissione o comportamento insolito.
3. Utilizzare strumenti automatizzati per monitorare attività sospette e applicare controlli di accesso rigorosi per prevenire modifiche non autorizzate.
Questo incidente sottolinea l’importanza della vigilanza nella gestione delle dipendenze software e la necessità di misure di sicurezza robuste nella catena di fornitura del software. Identificando e affrontando prontamente tali minacce, la comunità può proteggersi meglio contro attacchi simili in futuro.