Специалисты по кибербезопасности из компаний Sonatype и Socket выявили атаку на цепочку поставок, затронувшую три широко используемых npm-пакета: @rspack/core, @rspack/cli и Vant. Злоумышленники получили доступ к учётным записям разработчиков через скомпрометированные npm-токены и внедрили в пакеты вредоносный код для добычи криптовалюты Monero с помощью майнера XMRig.
Какие версии пакетов заражены
Для Rspack вредоносный код был внедрён исключительно в версию 1.1.7: малварь скрыта в файлах support.js (@rspack/core) и config.js (@rspack/cli). Для Vant затронуто несколько веток: версии 2.13.3–2.13.5, 3.6.13–3.6.15 и 4.9.11–4.9.14. XMRig в заражённых сборках Vant маскировался под процесс vant_helper. Перед загрузкой майнера малварь собирала данные о геолокации и сетевой конфигурации хоста. Официальная база уязвимостей npm содержит подробные рекомендации по безопасности для затронутых пакетов.
Масштаб распространения
@rspack/core набирает 394 000 еженедельных загрузок, @rspack/cli — 145 000, Vant — 46 000. Rspack — высокопроизводительный бандлер JavaScript, написанный на Rust, используется преимущественно в крупных фронтенд-проектах как альтернатива webpack. Vant — популярная UI-библиотека для Vue.js, широко применяемая в китайских и международных проектах. Совокупный потенциал охвата заражённых систем разработки исчислялся сотнями тысяч сред.
Кого затронула атака и что делать
Риску подвержены разработчики и CI/CD-пайплайны, которые на момент компрометации устанавливали точные версии пакетов без проверки хешей или использовали диапазоны зависимостей, допускающие установку 1.1.7 (Rspack) или заражённых минорных версий Vant.
- Обновить @rspack/core и @rspack/cli до версии 1.1.8 или выше, Vant — до версии 4.9.15 или выше.
- Проверить логи системы на наличие процесса
vant_helperили неожиданного сетевого трафика к майнинговым пулам Monero. - Просмотреть историю npm-журналов на факт установки заражённых версий в период с декабря 2024 года по январь 2025 года.
- Ротировать npm-токены в организации, если они хранятся в переменных среды CI/CD без ограничений по IP или сроку действия.
- Включить проверку целостности через
npm auditи инструменты Software Composition Analysis (SCA) в пайплайн для автоматического обнаружения будущих компрометаций.
Атака демонстрирует, что доступ к npm-аккаунту разработчика достаточен для компрометации сотен тысяч сред без уязвимости на стороне платформы. NIST рекомендует внедрять управление рисками цепочки поставок программного обеспечения как обязательную часть корпоративной безопасности — инцидент с Rspack и Vant наглядно показывает, почему.
