Пакет eslint-config-prettier версии 8.10.1, 9.1.1, 10.1.6 и 10.1.7 содержит вредоносный код, внедрённый в результате атаки на цепочку поста…
Пакет eslint-config-prettier версии 8.10.1, 9.1.1, 10.1.6 и 10.1.7 содержит вредоносный код, внедрённый в результате атаки на цепочку поставок. Установка уязвимого пакета приводит к выполнению файла install.js, который запускает вредоносное ПО node-gyp.dll на Windows [1]. Злоумышленники смогли опубликовать скомпрометированные версии пакетов, включая eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core и napi-postinstall, после того как их разработчик стал жертвой фишинговой атаки [2]. Основные меры предосторожности включают избежание установки уязвимых версий пакетов и проверку файлов package-lock.json или yarn.lock на наличие ссылок на эти версии [3]. Источники: - [1] https://socket.dev/blog/npm-phishing-campaign-leads-to-prettier-tooling-packages-compromise - [2] https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/ - [3] https://github.com/prettier/eslint-config-prettier/issues/339 - [4] https://www.npmjs.com/package/eslint-config-prettier?activeTab=versions - [5] https://www.stepsecurity.io/blog/supply-chain-security-alert-eslint-config-prettier-package-shows-signs-of-compromise
Продукт содержит код, носящий вредоносный характер.
https://cwe.mitre.org/data/definitions/506.html →Открыть в коллекции CWE →Злоумышленник добавляет вредоносную логику, нередко в форме компьютерного вируса, в иное безобидное программное обеспечение. Эта логика зачастую скрыта от пользователя программного обеспечения и работает в фоновом режиме, производя негативные воздействия. Зачастую вредоносная логика внедряется в пустое пространство между легитимным кодом и вызывается при запуске программного обеспечения. Данный шаблон атаки ориентирован на программное обеспечение, уже введённое в эксплуатацию, в отличие от ПО, находящегося в стадии разработки и являющегося частью цепочки поставок.
https://capec.mitre.org/data/definitions/442.html →Открыть в коллекции CAPEC →Злоумышленник вносит изменения в DLL и встраивает компьютерный вирус в промежутки между легитимными машинными инструкциями. Эти промежутки могут являться результатом оптимизаций компилятора, выравнивающего блоки памяти для повышения производительности. Внедрённый вирус затем предпринимает попытки заразить любую машину, взаимодействующую с продуктом, и, возможно, похитить конфиденциальные данные или организовать прослушивание.
https://capec.mitre.org/data/definitions/448.html →Открыть в коллекции CAPEC →Файлы в различных операционных системах могут иметь сложный формат, допускающий хранение дополнительных данных помимо основного содержимого. Зачастую это метаданные файла, например кешированный эскиз изображения. Если утилиты не вызываются особым образом, эти данные не видны при обычном использовании файла. Злоумышленник может хранить вредоносные данные или код с помощью этих механизмов, что затрудняет их обнаружение.
https://capec.mitre.org/data/definitions/636.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| eslint-config-prettier | * | Эксплуатируется |
| eslint-plugin-prettier | * | Эксплуатируется |
| got-fetch | * | Эксплуатируется |
| homarr | * | Эксплуатируется |
| napi-postinstall | * | Эксплуатируется |
| pkgr/core | * | Эксплуатируется |
| synckit | * | Эксплуатируется |