近日，有研究人員發(fā)現(xiàn)，一些熱門的npm包遭到入侵，攻擊者利用竊取到的令牌將帶有加密挖礦惡意軟件的版本發(fā)布到了官方包注冊表中。

Rspack 的開發(fā)人員透露，他們的兩個npm 包@rspack/core 和 @rspack/cli均被入侵。Rspack 被宣傳為 webpack 的替代品，是一款用 Rust 編寫的“高性能 JavaScript 打包工具”。最初由字節(jié)跳動開發(fā)，現(xiàn)在已經(jīng)被阿里巴巴、亞馬遜、 Discord 和微軟等幾家公司采用。受影響的兩個包每周的下載量分別超過 30萬次和 14.5萬次，表明它們頗受開發(fā)人員歡迎。

對這兩個庫的惡意版本進(jìn)行的分析顯示，它們包含了調(diào)用遠(yuǎn)程服務(wù)器（“80.78.28[.]72”）的代碼，用于傳輸敏感的配置信息，例如云服務(wù)憑據(jù)。同時它們還通過向“ipinfo[.]io/json”發(fā)出 HTTP GET 請求來收集 IP 地址和位置信息。為了取得性能和隱秘性的平衡，惡意加密挖礦活動還將CPU使用率限制在了75%。

值得注意的是，這種攻擊還把感染范圍限制在了特定一些國家，如中國、俄羅斯、白俄羅斯和伊朗。攻擊的最終目標(biāo)是在安裝這些包時，在受影響的 Linux 主機(jī)上觸發(fā) XMRig 加密貨幣挖礦軟件的下載和執(zhí)行。這一操作需通過“package.json”文件中指定的一個 postinstall 腳本來實(shí)現(xiàn)。

目前含有惡意軟件的版本已被撤下，新發(fā)布了安全的1.18版本。此外，項(xiàng)目維護(hù)人員還表示，他們已經(jīng)作廢了所有現(xiàn)有的 npm 令牌和 GitHub 令牌，檢查了代碼庫和 npm 包的權(quán)限，并審核了源代碼是否存在潛在的漏洞，對令牌被竊取的根本原因進(jìn)行了調(diào)查。

據(jù)悉，針對 Rspack的npm包的攻擊還包含另一個名為Vant的npm 包，該包每周下載量超過 4.1 萬次。 Sonatype的研究人員表示，攻擊者成功地將幾個被感染的版本發(fā)布到了 npm 注冊表中，包括 2.13.3 、2.13.4 、2.13.5 、3.6.13 、3.6.14 、3.6.15 、4.9.11 、4.9.12 、4.9.13 和4.9.14版本。目前，最新的安全版本4.9.15已發(fā)布，建議受影響的用戶及時升級。