Durante la noche, a partir de la 01:16 UTC del 9 de septiembre, se nos alertó de que se habían visto comprometidos más paquetes, entre los que se incluían:
- duckdb (148 000 descargas semanales)
- @duckdb/node-api (87 000 descargas semanales)
- @duckdb/node-bindings (87 000 descargas semanales)
- @duckdb/duckdb-wasm (64 000 descargas semanales)
Todos estos paquetes tenían una nueva versión 1.3.3 publicada (en el caso de la versión wasm, era la versión 1.29.2), que contenía el mismo código malicioso que vimos en el compromiso de paquetes con más de 2000 millones de descargas.
Carga maliciosa
La carga útil observada en este ataque es prácticamente idéntica a la documentada anteriormente, que intenta vaciar carteras criptográficas. Es una opción interesante implementar esta carga útil dentro de un paquete como duckdb, dado que esto se ejecutará principalmente en un backend. Esto sugiere que los atacantes pueden no ser muy conscientes de lo que realmente están haciendo.
Respuesta del proveedor
En el momento de redactar este artículo, el único indicio de que ha ocurrido algo es el hecho de que el proveedor ha marcado la última versión como obsoleta:
El proveedor también publicó un aviso en GitHub sobre el incidente:
¿Cómo pescar un pato?
Según los datos del registro de npm, el paquete malicioso fue enviado por el usuario. duckdb_admin, que tiene el correo electrónico charlatán [en] duckdb.org Dado que los otros compromisos se lograron mediante phishing, parece que esta vez el pato fue víctima del phishing, con anzuelo, sedal y plomo. El cazador se convirtió en presa, y el pobre pato se metió directamente en la red (ha sido una noche muy larga).
Protege tu software ahora.
.avif)
