Penjahat Cyber dikompromikan Account pengelola ESLint untuk mencuri Login token

Computer Security News

Hacker dikompromikan ESLint pengelola akun dan upload paket jahat yang mencoba untuk mencuri login token dari npm software registry.

Paket-paket yang terkena host pada npm:

  • eslint – lingkup versi 3.7.2 o, lingkup Perpustakaan analisis yang digunakan oleh versi lama dari eslint, dan versi terbaru dari babel-eslint dan webpack.
  • -config-eslint Eslint Versi 5.0.2 adalah konfigurasi yang digunakan secara internal oleh tim ESLint.

Sedang dipasang, paket tercemar akan men-download dan mengeksekusi kode dari pastebin.com yang dirancang untuk mengambil isi dari file .npmrc pengguna dan mengirimkan data ke hacker. Paling sering, file ini berisi token akses untuk penerbitan untuk npm.

“Penyerang diubah package.json di kedua-escope@3.7.2 eslint dan eslint-config-eslint@5.0.2, menambahkan postinstall script untuk menjalankan build.js. Script ini download script lain dari Pastebin dan mengambil isinya.” Kata Henry Zhu.

“Script ekstrak _authToken dari .npmrc pengguna dan mengirimkannya ke histats dan statcounter dalam header perujuk.”

Untungnya, pengelola dihapus hak paket berbahaya setelah mereka ditemukan dan konten pastebin.com dibawa turun.

“Pada tanggal 12 Juli 2018, penyerang dikompromikan npm account pengelola ESLint dan diterbitkan versi berbahaya eslint-lingkup dan eslint– config-eslint paket untuk npm registri. Pada instalasi, paket berbahaya download dan dieksekusi kode dari pastebin.com yang dikirim konten pengguna .npmrc file ke penyerang.” ESLint di penasehat keamanan membaca.

.npmrc file biasanya berisi token akses untuk penerbitan untuk npm. Versi paket berbahaya yang-scope@3.7.2 eslint dan eslint-config-eslint@5.0.2, keduanya telah diterbitkan dari npm. Pastebin.com pasta terkait dalam paket ini juga telah diambil ke bawah.”

Terlepas dari kenyataan bahwa npm login token dicuri oleh paket tercemar tidak menyertakan sandi pengguna npm, npm memilih untuk mencabut mungkin terkena dampak Token. Selain itu, pengguna yang menginstal paket berbahaya harus memperbarui npm.

“Kami sekarang memiliki disegarkan semua npm tanda-tanda yang diterbitkan sebelum 2018-07-12 12:30 UTC, menghilangkan kemungkinan dicuri Token yang digunakan jahat. Ini adalah tindakan operasional segera akhir kita mengharapkan untuk mengambil hari ini.” npm laporan insiden menyatakan.

Pengelola mampu menentukan bahwa account dikompromikan karena fakta bahwa ower telah kembali sandi yang sama di beberapa account dan tidak diaktifkan dua faktor otentikasi pada npm account.

ESLint dirilis eslint – lingkup versi 3.7.3 dan eslint – config-eslint Versi 5.0.3.


Leave a Reply

Your email address will not be published. Required fields are marked *