Serangan phishing yang canggih telah berjaya menjejaskan beberapa pakej pembangunan JavaScript yang digunakan secara meluas, menjejaskan beribu-ribu pembangun di seluruh dunia. Serangan ini menyasarkan JounQin, penyelenggara alat pemformatan kod popular, melalui e-mel menipu yang membawa kepada penerbitan versi pakej berniat jahat yang mengandungi perisian hasad Windows.
Insiden ini bermula apabila JounQin menjadi mangsa e-mel phishing yang kelihatan datang daripada npm, pendaftaran pakej JavaScript. Penyerang berjaya memperoleh akses kepada akaun npm beliau dan menerbitkan versi terjejas bagi beberapa alat pembangunan penting, termasuk eslint-config-prettier dan eslint-plugin-prettier - pakej yang dianggap sebagai keperluan untuk kebanyakan projek JavaScript dan TypeScript.
Pakej dan Versi yang Disahkan Terjejas:
- eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7
- eslint-plugin-prettier: 4.2.2, 4.2.3
- snyckit: 0.11.9
- @pkgjs/core: 0.2.8
- napi-postinstall: 0.3.1
Penggunaan Perisian Hasad Khusus Windows Menimbulkan Kebimbangan Keselamatan
Pakej berniat jahat tersebut secara khusus menyasarkan pengguna Windows dengan memasang fail DLL dengan fungsi yang tidak diketahui. Pendekatan yang disasarkan ini menunjukkan penyerang mempunyai strategi yang jelas untuk penyampaian muatan mereka. Seorang pengguna yang terjejas melaporkan bahawa perisian hasad tersebut melumpuhkan ciri keselamatan dalam pelayar Chrome, menunjukkan potensi untuk kompromi sistem yang serius.
Kesan serangan ini diperkuatkan oleh alat pengurusan kebergantungan automatik seperti Dependabot dan Renovate Bot, yang secara automatik mencipta permintaan tarik untuk menaik taraf projek kepada versi yang terjejas. Banyak daripada kemas kini automatik ini digabungkan tanpa semakan manual, menyebarkan kod berniat jahat merentasi banyak repositori.
Impak Keselamatan:
- Perisian hasad menyasarkan sistem Windows sahaja
- Memasang fail DLL dengan fungsi yang tidak diketahui
- Melumpuhkan ciri keselamatan pelayar Chrome
- Disebarkan melalui alat pengurusan kebergantungan automatik
- Semua versi hasad telah dimansuhkan dan digantikan
Komuniti Menyeru Langkah Keselamatan Yang Lebih Baik
Komuniti pembangun telah bertindak balas dengan menyeru langkah keselamatan yang diperbaiki. Beberapa pakar mencadangkan bahawa npm harus melaksanakan kenyataan asal usul mandatori untuk pakej popular, yang akan menghalang serangan ini dengan memerlukan bukti bahawa versi baru datang daripada sumber yang sah.
Satu perkara yang patut dilaksanakan oleh Npm (sekurang-kurangnya untuk pakej popular) ialah menolak penerbitan versi baru yang tidak mempunyai asal usul jika versi sebelumnya mempunyainya. Ini akan menghentikan serangan ini.
Insiden ini juga telah mencetuskan perbincangan mengenai amalan pembangunan yang lebih selamat. Sesetengah ahli komuniti mengesyorkan melumpuhkan skrip pemasangan secara lalai dan menggunakan pengurus pakej yang memerlukan kelulusan eksplisit untuk skrip tersebut. Yang lain mencadangkan untuk beralih daripada alat kompleks dengan beratus-ratus kebergantungan kepada alternatif yang lebih mudah seperti Biome atau linter terbina dalam Deno.
 |
|---|
| Graf garisan yang menunjukkan pertumbuhan menaik boleh mewakili desakan komuniti pembangun untuk langkah keselamatan yang diperbaiki berikutan serangan tersebut |
Kelemahan Keselamatan E-mel Terdedah
Serangan phishing berjaya sebahagiannya disebabkan oleh kelemahan reka bentuk klien e-mel biasa yang mengutamakan estetik berbanding keselamatan. Penyerang menggunakan nama paparan yang kelihatan sah sambil menyembunyikan alamat e-mel berniat jahat sebenar - teknik yang sukar dikesan oleh banyak klien e-mel.
Pakar keselamatan menunjukkan bahawa ini mewakili masalah yang lebih luas dengan antara muka klien e-mel, yang sering menyembunyikan maklumat keselamatan penting seperti alamat pengirim penuh dan destinasi pautan. Insiden ini berfungsi sebagai peringatan bahawa walaupun pembangun berpengalaman boleh menjadi mangsa percubaan phishing yang dibuat dengan baik, terutamanya apabila letih atau terganggu.
Penyelenggara sejak itu telah membuang token npm berniat jahat, menyahaktifkan semua versi yang terjejas, dan menerbitkan pengganti yang bersih. Walau bagaimanapun, insiden ini menyerlahkan kerentanan berterusan rantaian bekalan perisian dan keperluan untuk amalan keselamatan yang lebih baik merentasi ekosistem pembangunan.
Rujukan: Supply Chain Security Alert: eslint-config-prettier Package Shows Signs of Compromise