Penjenayah siber terjejas penyenggara ESLint untuk akaun untuk mencuri token log masuk

Computer Security News

Penggodam akaun penyenggara ESLint yang terjejas dan dimuat naik pakej berniat jahat yang cuba untuk mencuri masuk token daripada daftaran perisian npm.

Pakej-pakej yang terlibat dihoskan pada npm adalah:

  • eslint – o versi 3.7.2 skop, skop analisis Perpustakaan digunakan oleh versi yang lebih tua eslint, dan kepada versi terbaharu babel-eslint dan webpack.
  • -tatarajah-eslint Eslint versi 5.0.2 adalah konfigurasi digunakan secara dalaman oleh pasukan ESLint.

Sedang dipasang, pakej tainted akan memuat turun dan melaksanakan kod dari pastebin.com yang diwujudkan untuk merebut kandungan fail .npmrc pengguna dan menghantar data kepada penggodam. Kebiasaannya, fail ini mengandungi token akses untuk penerbitan ke npm.

“Penyerang kali package.json di kedua-dua-escope@3.7.2 eslint dan eslint-config-eslint@5.0.2, menambah satu postinstall skrip untuk menjalankan build.js. Script ini memuat turun skrip lain dari Pastebin dan evals kandungannya.” Henry Zhu berkata.

“Script ekstrak _authToken itu dari .npmrc pengguna dan menghantarnya ke statcounter histats dan di dalam pengepala referalnya.”

Mujurlah, bertugas sebagai penyelenggara yang dikeluarkan hak pakej berniat jahat selepas mereka didapati dan kandungan pastebin.com mula diturunkan.

“Pada 12 Julai 2018, penyerang yang terjejas di npm akaun seorang penyenggara ESLint dan menerbitkan versi jahat di eslint-skop dan eslint– konfigurasi-eslint pakej untuk di npm daftaran. Pemasangan, pakej berniat jahat yang dimuat turun dan dilaksanakan kod dari pastebin.com yang dihantar kandungan fail .npmrc pengguna kepada penyerang.” membaca di ESLint dan Penasihat Keselamatan .

Untuk .npmrc fail biasanya mengandungi token akses untuk penerbitan ke npm. Versi pakej yang berniat jahat akan-scope@3.7.2 eslint dan eslint-config-eslint@5.0.2, kedua-duanya telah tidak diterbitkan dari npm. Pes pastebin.com dipaut dalam pakej ini juga diturunkan.”

Walaupun pada hakikatnya bahawa token login npm yang dicuri oleh pakej tainted tidak termasuk kata laluan pengguna npm, npm yang memilih untuk membatalkan token mungkin terjejas. Selain itu, pengguna yang memasang pakej yang jahat hendaklah mengemaskini npm.

“Kita sekarang telah dibatalkan semua npm token yang dikeluarkan sebelum 2018-07-12 12:30 UTC, menghapuskan kemungkinan dicuri token yang digunakan berniat jahat. Ini adalah tindakan operasi serta-merta akhir yang kami menjangka akan mengambil semalam.” npm dalam laporan kejadian Negeri.

Bertugas sebagai penyelenggara yang telah dapat menentukan bahawa akaun telah terjejas disebabkan oleh hakikat bahawa ower yang telah diguna semula kata laluan yang sama pada berbilang akaun dan tidak membolehkan dua faktor pengesahan tentang akaun npm.

ESLint dikeluarkan eslint – skop versi 3.7.3 dan eslint – tatarajah-eslint versi 5.0.3.


Leave a Reply

Your email address will not be published. Required fields are marked *