Експерти з кібербезпеки компаній Sonatype та Socket виявили масштабну атаку на ланцюжок поставок програмного забезпечення, що торкнулася трьох широковживаних npm-пакетів. Зловмисники успішно скомпрометували бібліотеки @rspack/core, @rspack/cli та Vant, впровадивши в них шкідливий код для прихованого майнінгу криптовалюти Monero.
Масштаб компрометації та популярність affected пакетів
Атака вразила надзвичайно популярні інструменти розробки: пакети @rspack/core та @rspack/cli, які реєструють 394 000 та 145 000 щотижневих завантажень відповідно. UI-бібліотека Vant, призначена для Vue.js додатків, має близько 46 000 завантажень на тиждень. Особливо критичним є компрометація Rspack – високопродуктивного JavaScript-бандлера, написаного на Rust, який активно використовується для збірки веб-проектів.
Технічний аналіз шкідливого коду
У результаті дослідження виявлено, що в Rspack малварь була впроваджена у версію 1.1.7, тоді як у Vant постраждали одразу кілька версій: 2.13.3-5, 3.6.13-15 та 4.9.11-14. Шкідливий код, замаскований під легітимні файли support.js та config.js, здійснював збір системної інформації, включаючи геолокаційні дані та мережеві налаштування. Після цього відбувалося автоматичне завантаження та встановлення майнера XMRig, який у випадку з Vant маскувався під системний процес vant_helper.
Рекомендації щодо захисту та оновлення
Розробники обох проектів оперативно випустили патчі безпеки. Користувачам Rspack наполегливо рекомендується оновитися до версії 1.1.8 або новішої, а для Vant необхідно встановити версію 4.9.15 чи вище. В оновлених версіях впроваджено додаткові механізми захисту від подібних атак.
Цей інцидент яскраво демонструє критичну важливість комплексного підходу до безпеки ланцюжка поставок у сучасній розробці ПЗ. Організаціям рекомендується впровадити багаторівневий захист, включаючи регулярний аудит залежностей, використання інструментів автоматизованого сканування безпеки та впровадження суворих політик управління пакетами. Особливу увагу слід приділити захисту облікових даних розробників та npm-токенів, компрометація яких може призвести до масштабних наслідків для всієї екосистеми.
