In der Nacht vom 9. September um 01:16 UTC wurden wir darauf aufmerksam gemacht, dass weitere Pakete kompromittiert worden waren, darunter:
- duckdb (148.000 wöchentliche Downloads)
- @duckdb/node-api (87.000 wöchentliche Downloads)
- @duckdb/node-bindings (87.000 wöchentliche Downloads)
- @duckdb/duckdb-wasm (64.000 wöchentliche Downloads)
Für alle diese Pakete wurde eine neue Version 1.3.3 veröffentlicht (im Fall der wasm-Version war es die Version 1.29.2), die denselben Schadcode enthielten, den wir in der Kompromiss bei Paketen mit über 2 Milliarden Downloads.
Bösartige Nutzlast
Die bei diesem Angriff beobachtete Nutzlast ist praktisch identisch mit der zuvor dokumentierten, die versucht, Krypto-Wallets zu leeren. Es ist eine interessante Entscheidung, diese Nutzlast in einem Paket wie duckdb, da dies in erster Linie auf einem Backend ausgeführt wird. Dies deutet darauf hin, dass sich die Angreifer möglicherweise nicht wirklich bewusst sind, was sie da eigentlich tun.
Antwort des Anbieters
Zum Zeitpunkt der Erstellung dieses Artikels ist der einzige Hinweis darauf, dass etwas passiert ist, die Tatsache, dass der Anbieter die neueste Version als veraltet markiert hat:
Der Anbieter veröffentlichte außerdem auf GitHub eine Mitteilung zu diesem Vorfall:
Wie fängt man eine Ente?
Basierend auf den Registrierungsdaten von npm wurde das schädliche Paket vom Benutzer eingereicht. duckdb_admin, das die E-Mail hat quack [at] duckdb.org Da die anderen Kompromisse durch Phishing erzielt wurden, scheint es, dass diesmal die Ente selbst mit Haken, Leine und Senkblei gefischt wurde. Der Jäger wurde zum Gejagten, und die arme Ente watschelte direkt ins Netz (Es war eine lange Nacht).
Sichern Sie Ihre Software jetzt.
.avif)
