Bösartiges npm-Paket: Brand-Squats von TanStack exfiltrieren Entwicklergeheimnisse

Sicherheitslage und Risiko

Er gab auch bekannt, dass der Maintainer ihm zuvor $10.000 gefordert hatte und dass TanStack wiederholt versucht hatte, npm zu veranlassen, Maßnahmen zu ergreifen, ohne Erfolg. Dieser Angriff ist ein klares Beispiel für eine schwerwiegende Bedrohung der Lieferkette, die viele Entwickler zu übersehen neigen.

Jeder, der nach TanStack-Tools sucht oder Installationsbefehle aus Tutorials kopiert, könnte leicht das falsche Paket installieren, ohne es zu bemerken.

Jede in dem Projektordner vorhandene Datei wie „.env“, „.env.local“ oder „.env.production“ zum Zeitpunkt der Installation sollte als vollständig kompromittiert betrachtet werden, da diese Dateien typischerweise API-Schlüssel, Datenbankpasswörter und Authentifizierungstoken enthalten, die für die Anwendungssicherheit kritisch sind.

Sicherheitslage und Risiko

Postinstall-Skript: Wie der Angriff funktionierte Der Kern dieses Angriffs lag in den postinstall-Skripten des Pakets. Als ein Entwickler „npm install“ ausführte, wurde das Skript automatisch ausgelöst und begann, das Stammverzeichnis des Projekts nach Umgebungsvariablen-Dateien zu durchsuchen.

Die bösartige Funktion mit dem Namen „collectEnvFiles()“ sammelte jede Datei, die dem Muster „.env“ oder „.env.*“ entsprach, und verpackte sie in eine JSON-Nutzlast. Diese Nutzlast wurde dann über eine HTTPS POST-Anfrage an einen Endpunkt gesendet, der auf Svix gehostet wurde, einem.

Um seinen wahren Zweck zu verbergen, erhielt die Funktion einen harmlock aussehenden Namen, „sendReadme()“, was auf den ersten Blick wie routinemäßige Telemetrie wirkte. Version 2.0.6 war am aggressivsten und scannte das gesamte Installationsverzeichnis nach allen “.env.*”-Varianten und sendete diese still, ohne sichtbare Spuren zu hinterlassen.

Version 2.0.7 reduzierte dies leicht, kommentierte

Version 2.0.7 reduzierte dies leicht, kommentierte jedoch alle Konsolenprotokallaufrufe aus, was es für Sicherheitstools noch schwieriger machte, dies zu erkennen. Der Angreifer nutzte eine Svix-Webhook-Quelle mit der ID „src_3387PLMB2uhXOBe3Q8sHu“ als Einweg-Ablageort für gestohlene Daten.

Jeder konnte Daten an die öffentliche Ingest-URL posten, aber nur der authentifizierte Kontoinhaber konnte einsehen, was eingegangen war, was es für Verteidiger sehr schwierig machte, zu überprüfen, was gestohlen wurde.

Die gleiche Svix-Quell-ID trat in allen vier bösartigen Versionen auf, was bestätigt, dass die gesamte Aktivität. Entwickler, die die Versionen 2.0.4 bis 2.0.7 installiert haben, sollten das Paket deinstallieren und umgehend alle Geheimnisse rotieren.

Technischer Hintergrund

Alle in betroffenen „.env“-Dateien gespeicherten API-Schlüssel, Token oder Datenbank-Anmeldeinformationen müssen als vollständig kompromittiert betrachtet und sofort ersetzt werden. Teams sollten ihre „package.json“, „package-lock.json“ und „yarn.lock“-Dateien auf jegliche Referenz zum unqualifizierten „tanstack“-Paket überprüfen und es entfernen.

Organisationen sollten außerdem das unqualifizierte „tanstack“-Paket zu ihren Verzeichnis-Deny-Listen hinzufügen und den ausgehenden Datenverkehr zu „api.svix.com“, CI/CD-Pipelines und Container-Build-Umgebungen überwachen.

Installieren Sie TanStack-Pakete immer mithilfe des offiziellen, qualifizierten „@tanstack/*“-Formats, um ähnliche Fallen zu vermeiden.

Technischer Hintergrund

IoC:- Field Value Bösartige Pakete npm/tanstack@2.0.4, 2.0.5, 2.0.6, 2.0.7 npm Autor sh20raj Auslösemechanismus postinstall npm Lebenszyklus-Hook Svix Quelle ID src_3387PLMB2uhXOBe3Q8sHu Exfiltrations-URL hxxps://api[.]svix[.]com/ingest/api/v1/source/src_3387PLMB2uhXOBe3Q8sHu/ Sie uns auf

Setzen Sie CSN als bevorzugte Quelle in Google. Der Beitrag Malicious npm Package Brand-Squats TanStack Exfiltrate Developer Secrets erschien zuerst bei