کمیته رکن چهارم – پژوهشگران امنیت سایبری از آلوده شدن بسته jscrambler در مخزن npm خبر دادند؛ حملهای که با نصب نسخههای آلوده، بدافزار سرقت اطلاعات را روی سیستمهای توسعه و سرورهای CI اجرا کرده و کلیدهای ابری، کیفپولهای رمزارز و دادههای حساس را هدف قرار میدهد.
به گزارش کمیته رکن چهارم، به نقل از The Hacker News، نسخه ۸.۱۴.۰ بسته jscrambler که در ۲۰ تیر ۱۴۰۵ منتشر شد، حاوی یک preinstall hook مخرب بود که هنگام نصب، فایل اجرایی متناسب با ویندوز، لینوکس یا macOS را بهطور خودکار اجرا میکرد. شرکت Socket تنها شش دقیقه پس از انتشار این نسخه، آلودگی را شناسایی کرد.
بررسیها نشان میدهد فایلهای مخرب در مخزن رسمی GitHub این پروژه وجود نداشتند و نسخه آلوده مستقیماً از طریق حساب رسمی انتشار npm منتشر شده است؛ موضوعی که احتمال سرقت اطلاعات حساب انتشار یا نفوذ به زنجیره تأمین نرمافزار را مطرح میکند.
بدافزار مورد استفاده که با زبان Rust توسعه یافته، اطلاعات حساسی مانند کلیدهای AWS، Azure و Google Cloud، گذرواژهها و کوکیهای مرورگر، نشستهای Discord، Slack، Telegram و Steam، اطلاعات Bitwarden، کیفپولهای رمزارزی MetaMask، Phantom و Exodus و همچنین فایلهای پیکربندی ابزارهای هوش مصنوعی مانند Claude Desktop، Cursor، Windsurf، VS Code و Zed را جمعآوری و برای سرور مهاجم ارسال میکند.
پژوهشگران همچنین اعلام کردند نسخههای ویندوز و macOS برای حفظ ماندگاری، وظایف زمانبندیشده و LaunchAgent ایجاد میکنند و نسخه لینوکس نیز از قابلیتهای eBPF برای اجرای کد در سطح هسته استفاده میکند.
در ادامه بررسیها مشخص شد علاوه بر نسخه ۸.۱۴.۰، نسخههای ۸.۱۶.۰، ۸.۱۷.۰، ۸.۱۸.۰ و ۸.۲۰.۰ نیز آلوده بودهاند. شرکت Jscrambler اعلام کرده مهاجم با سوءاستفاده از اطلاعات ورود حساب انتشار npm این نسخهها را منتشر کرده و نسخه ۸.۲۲.۰ بهعنوان نسخه سالم در دسترس قرار گرفته است.
کارشناسان امنیتی به کاربرانی که نسخههای آلوده را نصب کردهاند توصیه میکنند فوراً به نسخه ۸.۲۲.۰ ارتقا دهند، تمام کلیدهای دسترسی، توکنهای GitHub و npm، کلیدهای سرویسهای ابری و APIهای هوش مصنوعی را تعویض کنند و در صورت استفاده از کیفپول رمزارزی روی سیستم آلوده، داراییهای خود را به یک کیفپول جدید منتقل کنند.
منبع: The Hacker News



