- Lebih dari 150.000 paket npm yang terkait dengan skema pertanian token TEA ditandai oleh Amazon Inspector
- Penyerang menggunakan paket spam yang mereplikasi dirinya sendiri untuk memalsukan pengaruh pengembang dan mendapatkan hadiah kripto
- Para peneliti menyebutnya sebagai insiden keamanan rantai pasokan yang besar, sehingga mendesak keamanan registri dan kerja sama yang lebih kuat
Para peneliti telah menemukan ribuan paket npm yang mereplikasi dirinya sendiri, namun tidak berguna, yang tampaknya merupakan bagian dari operasi penipuan skala besar yang mencoba mendapatkan token kripto untuk penipu.
Peneliti keamanan siber Endor Labs baru-baru ini menemukan lebih dari 43.000 paket spam yang tampaknya membutuhkan waktu dua tahun untuk diunggah, dan setidaknya 11 akun. Paket-paket tersebut, yang mencakup sekitar 1% dari keseluruhan ekosistem npm, tidak berbahaya dalam pengertian tradisional – mereka tidak mencuri data, menyediakan pintu belakang, atau mengenkripsi file sistem. Mereka mereplikasi diri ketika diunduh dan dijalankan.
Endor berspekulasi bahwa mereka dapat menjadi jahat melalui pembaruan, tetapi juga mengatakan bahwa mereka dapat menjadi bagian dari kampanye yang bermotif finansial, karena beberapa paket berisi file tea.yaml, yang mencantumkan akun TEA.
Mengkonfirmasi kecurigaan
Tea adalah protokol kerangka kerja terdesentralisasi di mana pengembang open source diberi imbalan ketika mereka menyumbangkan perangkat lunak, yang berarti penyerang mungkin berusaha memalsukan skor pengaruh mereka, sehingga menghasilkan lebih banyak token TEA.
Kini, peneliti Amazon telah mengkonfirmasi kecurigaan tersebut. Dalam laporan baru, perusahaan mengatakan bahwa Amazon Inspector (layanan penilaian keamanan dari AWS) baru-baru ini diperbarui dengan aturan deteksi baru, yang menandai lebih dari 150,000 paket yang terkait dengan kampanye pertanian token tea.xyz – tiga kali lipat dari ukuran laporan awal.
Amazon membutuhkan waktu sekitar seminggu mulai dari memperbarui aturan pencarian hingga mencari 150.000 paket, memvalidasi hasilnya dengan OpenSSF.
“Ini adalah salah satu peristiwa banjir paket terbesar dalam sejarah registri sumber terbuka, dan mewakili momen yang menentukan dalam keamanan rantai pasokan,” jelas Amazon.
“Insiden ini menggambarkan sifat ancaman yang terus berkembang di mana insentif finansial memicu polusi registri dalam skala yang belum pernah terjadi sebelumnya, dan menggarisbawahi pentingnya kolaborasi industri-komunitas untuk melindungi rantai pasokan perangkat lunak.”
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
