Специалисты по кибербезопасности из компаний Sonatype и Socket выявили серьезную атаку на цепочку поставок, затронувшую три широко используемых npm-пакета: @rspack/core, @rspack/cli и Vant. Злоумышленники, получив доступ к учетным записям разработчиков через украденные npm-токены, внедрили в пакеты вредоносный код для майнинга криптовалюты Monero.
Масштаб и последствия атаки
Скомпрометированные библиотеки имеют значительную пользовательскую базу: @rspack/core и @rspack/cli регистрируют 394 000 и 145 000 еженедельных загрузок соответственно, а Vant насчитывает 46 000 загрузок в неделю. Rspack, высокопроизводительный JavaScript-бандлер на Rust, широко применяется для сборки веб-проектов, в то время как Vant представляет собой популярную UI-библиотеку для Vue.js приложений.
Технические детали вредоносного кода
В случае Rspack вредоносный код был внедрен в версию 1.1.7, а для Vant были затронуты множественные версии, включая 2.13.3-5, 3.6.13-15 и 4.9.11-14. Малварь, замаскированная в файлах support.js (@rspack/core) и config.js (@rspack/cli), осуществляла сбор данных о географическом положении и сетевой конфигурации infected систем. Затем происходила загрузка и установка майнера XMRig, который в случае с Vant маскировался под процесс vant_helper.
Меры по устранению угрозы
Разработчики обеих библиотек оперативно отреагировали на инцидент. Для Rspack рекомендуется обновление до версии 1.1.8 или выше, а пользователям Vant следует перейти на версию 4.9.15 или новее. В обновленных версиях внедрены дополнительные механизмы защиты для предотвращения подобных инцидентов в будущем.
Этот инцидент подчеркивает критическую важность безопасности цепочки поставок в современной разработке программного обеспечения. Организациям рекомендуется внедрить строгие политики управления зависимостями, регулярно проводить аудит используемых пакетов и применять инструменты автоматизированного анализа безопасности для своевременного выявления потенциальных угроз.
