Serangan rantai bekalan yang canggih telah menyusup ke dalam ekosistem NPM , menjejaskan lebih 40 pakej dan memberi kesan kepada berjuta-juta pembangun di seluruh dunia. Serangan ini menyasarkan pakej popular @ctri/tinycolor , yang menerima 2.2 juta muat turun mingguan, bersama dengan berpuluh pakej lain yang merangkumi pelbagai penyelenggara.
Kod berniat jahat ini beroperasi dengan memuat turun arkib pakej secara automatik, menyuntik skrip berbahaya, dan menerbitkannya semula untuk menyebarkan jangkitan dengan lebih luas. Ini mewujudkan sistem yang boleh merambat sendiri yang mampu menjejaskan pakej hiliran tanpa campur tangan langsung daripada penyerang.
Contoh Pakej Yang Terjejas:
- @ctri/tinycolor (2.2 juta muat turun mingguan)
- @ctri/delegate.2.2
- @ctri/ngx-codemirror9.0.2
- encounter-playground9.0.5
- ngx-color91.0.2
- react-complate-image9.0.30
Operasi Mengumpul Kelayakan
Matlamat utama serangan ini nampaknya adalah untuk mencuri kelayakan sensitif daripada persekitaran pembangun. Perisian hasad ini menggunakan TruffleHog , sebuah alat keselamatan yang sah, untuk mengimbas sistem fail bagi token berharga dan kelayakan awan. Ia secara khusus menyasarkan token penerbitan NPM , kunci rahsia AWS , dan token akses GitHub .
Apa yang menjadikan serangan ini amat berbahaya ialah keupayaannya untuk mengesahkan kelayakan yang dicuri secara masa nyata. Perisian hasad ini menyemak token NPM terhadap titik akhir pengesahan dan menggunakan token GitHub untuk berinteraksi dengan repositori, yang berpotensi membenarkan penyerang menerbitkan kemas kini berniat jahat kepada pakej yang sah.
Kelayakan yang Disasarkan:
- NPM_TOKEN dan NPM_TOKEN_AMG
- AWS_SECRET_ACCESS_KEY dan ACCESS_KEY_ID
- Token akses peribadi GitHub
- Kelayakan metadata awan daripada ejen pembinaan
Respons Komuniti dan Cabaran Pengesanan
Komuniti keselamatan telah membangkitkan kebimbangan mengenai kekerapan serangan sedemikian, dengan ini menjadi serangan besar NPM kedua dalam satu minggu. Pembangun mempersoalkan langkah keselamatan platform dan menggesa perlindungan yang lebih kuat.
Terdapat cadangan praktikal yang boleh mencegah perkara ini tetapi NPM masih belum menerima pakai: Mencegah penerbitan versi pakej baharu selama 24–48 jam selepas kelayakan akaun diubah, Memerlukan sokongan untuk kunci keselamatan.
Serangan ini pada mulanya dikesan oleh sistem automatik, yang membawa kepada sedikit kekeliruan mengenai kesahihannya. Walau bagaimanapun, penyelidik keselamatan telah mengesahkan ancaman ini adalah benar dan sedang merebak secara aktif. Pengesanan ini menyerlahkan kedua-dua nilai pemantauan automatik dan keperluan untuk pengesahan manusia terhadap amaran keselamatan.
Langkah Perlindungan Segera
Pakar keselamatan mengesyorkan beberapa langkah segera untuk pembangun yang terjejas. Perlindungan jangka pendek yang paling berkesan melibatkan melumpuhkan pelaksanaan skrip automatik semasa pemasangan pakej, yang menghalang kod berniat jahat daripada berjalan serta-merta.
Organisasi yang menggunakan pakej terjejas harus mengaudit persekitaran pembangunan dan sistem CI/CD mereka untuk tanda-tanda kecurian kelayakan. Mana-mana sistem yang memasang versi yang terjejas harus dianggap berpotensi terjejas, dengan semua token dan rahsia yang berkaitan memerlukan putaran.
Serangan ini menunjukkan kerentanan berterusan rantai bekalan sumber terbuka dan keperluan untuk langkah keselamatan yang lebih kukuh dalam sistem pengurusan pakej. Memandangkan penyerang semakin menyasarkan komponen infrastruktur kritikal ini, komuniti pembangunan mesti menyesuaikan amalan keselamatan mereka untuk sepadan dengan landskap ancaman yang berkembang.
Rujukan: Popular Tinycolor npm Package Compromised in Supply Chain Attack Affecting 40+ Packages