- Lebih dari 150.000 paket npm yang terkait dengan skema pertanian token TEA ditandai oleh Amazon Inspector
- Penyerang menggunakan paket spam yang mereplikasi dirinya sendiri untuk memalsukan dampak pengembang dan mendapatkan hadiah kripto
- Para peneliti menyebutnya sebagai peristiwa keamanan rantai pasokan yang besar, yang mendesak pertahanan dan kolaborasi registri yang lebih kuat
Para peneliti telah menemukan puluhan ribu paket npm yang mereplikasi dirinya sendiri, namun tampaknya tidak ada gunanya, yang tampaknya merupakan bagian dari operasi penipuan skala besar yang bertujuan untuk mendapatkan token kripto untuk para penipu.
Peneliti keamanan siber Endor Labs baru-baru ini menemukan lebih dari 43.000 paket spam yang tampaknya membutuhkan waktu dua tahun, dan setidaknya 11 akun, untuk diunggah. Paket-paket tersebut, yang mencakup sekitar 1% dari keseluruhan ekosistem npm, tidak berbahaya dalam pengertian tradisional – mereka tidak mencuri data, menyediakan pintu belakang, atau mengenkripsi file sistem. Mereka mereplikasi dirinya sendiri ketika diunduh dan dijalankan.
Endor berspekulasi bahwa mereka bisa berubah menjadi jahat melalui pembaruan, tetapi juga mengatakan mereka bisa menjadi bagian dari kampanye yang bermotif finansial, karena beberapa paket menyertakan file tea.yaml, yang mencantumkan akun TEA.
Mengkonfirmasi kecurigaan
Teh adalah protokol kerangka terdesentralisasi di mana sumber terbuka Pengembang diberi imbalan ketika menyumbangkan perangkat lunak, artinya penyerang mungkin mencoba memalsukan skor dampaknya, sehingga menghasilkan lebih banyak token TEA.
Sekarang, AmazonPara peneliti tampaknya telah mengkonfirmasi kecurigaan ini. Di sebuah laporan baruperusahaan tersebut mengatakan Amazon Inspector (layanan penilaian keamanan dari AWS) baru-baru ini diperbarui dengan aturan deteksi baru, yang menandai lebih dari 150.000 paket yang terkait dengan kampanye pertanian token tea.xyz – tiga kali lipat ukuran laporan awal.
Amazon membutuhkan waktu sekitar satu minggu untuk mulai memperbarui aturan deteksi, menemukan 150.000 paket, hingga memvalidasi hasilnya dengan OpenSSF.
“Ini adalah salah satu insiden banjir paket terbesar dalam sejarah registri sumber terbuka, dan mewakili momen yang menentukan dalam keamanan rantai pasokan,” jelas Amazon.
“Insiden ini menunjukkan sifat ancaman yang terus berkembang dimana insentif keuangan mendorong polusi registri pada skala yang belum pernah terjadi sebelumnya, dan pentingnya kolaborasi industri-komunitas dalam mempertahankan rantai pasokan perangkat lunak.”
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
