Кібер-злочинці скомпрометований ESLint супроводжуючого облікового запису, щоб вкрасти Логін жетони

Computer Security News

Хакери скомпрометований ESLint супроводжуючого рахунку та завантажено зловмисних пакунки, які намагаються вкрасти Логін токени в реєстрі npm програмного забезпечення.

Уражені пакунки, що відбулася в npm:

  • eslint – сфера версія 3.7.2 o, бібліотеки аналізу сфери використовуються ранішими версіями eslint і останні версії babel-eslint і webpack.
  • Eslint eslint – config – версія 5.0.2 є конфігурації використовується всередині команди ESLint.

Інстальовано, заплямована пакунки завантажити та виконати код від pastebin.com, який був розроблений, щоб захопити зміст користувача .npmrc файлу і надсилати дані хакер. Найчастіше цей файл містить маркери доступу для публікації на npm.

“Атакуючий модифікація package.json в обох eslint-escope@3.7.2 і eslint-config-eslint@5.0.2, додавши postinstall сценарій для запуску build.js. Цей сценарій завантажує інший скрипт з Pastebin і Сара її вмісту.” Чжу Генрі сказав.

“Сценарій вилучає на _authToken від користувача .npmrc і направляє його до histats і statcounter всередині Referer заголовка.”

На щастя, до супроводжуючі видалені зловмисних пакунки право після того, як вони були знайдені і вміст на pastebin.com був знятий.

“На 12 липня 2018 року, зловмисник скомпрометований на npm рахунку ESLint супроводжуючого і опубліковані шкідливий версії на eslint-сфера та eslint– config-eslint пакетів на npm реєстру. На встановлення, зловмисних пакунки скачав і стратили код від pastebin.com, які відправлені зловмиснику вміст файлу .npmrc користувача.” на ESLint, Консультативний безпеки читає.

У .npmrc файлу зазвичай містить маркери доступу для публікації на npm. Зловмисних пакет версії є eslint-scope@3.7.2 і eslint-config-eslint@5.0.2, обидва з яких були неопублікованих з npm. Pastebin.com паста пов’язані в цих пакунків також взяв.”

Незважаючи на те, що npm Логін токени вкрадено заплямована пакунки не містять npm пароль користувача на npm вирішили скасувати можливо вплив жетонів. Крім того, користувачі, які встановили зловмисних пакунки слід оновлювати npm.

“Ми зараз визнавали все npm токени, випущених до 2018-07-12 12:30 UTC, усуваючи можливість вкрадені жетони використовуються зловмисно. Це остаточний негайних дій оперативних ми очікувати взяти сьогодні.” держави у npm звіт про інцидент .

До супроводжуючі були в змозі визначити, що рахунок був скомпрометований у зв’язку з тим, що в ower було повторно однаковий пароль на декількох облікових записів і не включений двофакторна автентифікація на їх npm рахунок.

ESLint випущений eslint – сфера версія 3.7.3 та eslint – config-eslint версії 5.0.3.


Leave a Reply

Your email address will not be published. Required fields are marked *