Cyberprzestępcy złamany ESLint opiekuna konta, aby ukraść tokenów logowania

Computer Security News

Hakerzy złamany ESLint opiekuna konta i złośliwe pakiety próbujące ukraść tokenów logowania z rejestru oprogramowania npm.

Hostowane na npm pakietów są:

  • eslint – o wersji 3.7.2 zakres, zakres analizy biblioteki używane przez starsze wersje eslint, a najnowsze wersje babel-eslint i webpack.
  • -config-eslint Eslint w wersji 5.0.2 jest używane wewnętrznie przez ESLint zespołu konfigurację.

Instalowany, skażone pakiety pobierze i wykonać kod z pastebin.com, który został zaprojektowany, aby pobrać zawartość pliku .npmrc użytkownika i wysyła dane do hakerów. Najczęściej ten plik zawiera tokeny dostępu do publikowania npm.

“Atakujący zmodyfikowano plików package.json w obu-escope@3.7.2 eslint i eslint-config-eslint@5.0.2, dodając postinstall skrypt , aby uruchomić build.js. Ten skrypt pobiera inny skrypt z Pastebin i EvalS maszynę Turinga obliczającą jego zawartość.” Henry Zhu powiedział.

“Skrypt wyodrębnia _authToken z .npmrc użytkownika i wysyła go do histats i statcounter wewnątrz nagłówka Referer.”

Na szczęście opiekunów usunięte złośliwe pakiety prawo po zostały znalezione i treści na pastebin.com został zdjęty.

“Na 12 lipca 2018 r. zagrożona osoba atakująca npm konto z ESLint opiekunem i opublikowanych wersji złośliwego eslint-zakres i eslint– config-eslint pakiety npm rejestru. “Na instalacji, złośliwe pakiety pobierane i wykonać kod z pastebin.com, który wysłał zawartość pliku .npmrc użytkownika osobie atakującej.” ESLint Poradnik zabezpieczeń odczytuje.

” .npmrc plik zawiera zazwyczaj tokeny dostępu do publikowania npm. Wersje pakietu złośliwego są-scope@3.7.2 eslint i eslint-config-eslint@5.0.2, które były publikowane z npm. Wklej pastebin.com połączone w pakiety te również został zdjęty.”

Pomimo faktu, że tokeny logowania npm skradzione przez skażone pakiety nie zawierają hasła użytkownika npm npm zdecydował się odwołać tokenów ewentualnie wpływ. Również użytkownicy, którzy zainstalowali złośliwe pakiety należy zaktualizować npm.

“Możemy mieć teraz unieważnione wszystkie npm tokeny wystawione przed 2018-07-12 12:30 UTC, eliminując możliwość kradzieży tokeny używane w złych zamiarach. To jest końcowy natychmiastowe działania operacyjne, możemy spodziewać się podjąć dziś.” npm sprawozdanie o wydarzeniu państwa.

Opiekunowie byli w stanie ustalić, że konto zostało przejęte, ze względu na fakt, że ower miał ponownie to samo hasło na wiele kont i nie włączone uwierzytelnianie dwuczynnikowe na ich konto npm.

ESLint wydany eslint – zakres wersji 3.7.3 i eslint – config-eslint wersja 5.0.3.


Leave a Reply

Your email address will not be published. Required fields are marked *