9月9日UTC午前1時16分から夜通し、さらなるパッケージが侵害されているとのアラートを受けました。これには以下が含まれます。
- duckdb (週148,000ダウンロード)
- @duckdb/node-api(週ごとのダウンロード数87,000件)
- @duckdb/node-bindings (週87,000ダウンロード)
- @duckdb/duckdb-wasm (週64,000ダウンロード)
これらのパッケージはすべて新しいバージョン1.3.3がリリースされており(wasm版の場合はバージョン 1.29.2)には、以前確認されたものと同じ悪意のあるコードが含まれていました。 20億回以上のダウンロードを記録したパッケージの侵害。
悪意のあるペイロード
この攻撃で観測されたペイロードは、以前に文書化されたものと実質的に同一であり、仮想通貨ウォレットを枯渇させようとしています。このペイロードを、以下のようなパッケージ内にデプロイするのは興味深い選択です。 duckdbこれは主にバックエンドで実行されることを考えると、攻撃者が実際に何をしているのかをあまり認識していない可能性を示唆しています。
ベンダーの対応
本稿執筆時点では、何かが発生した唯一の兆候は、ベンダーが最新リリースを非推奨とマークしているという事実です。
ベンダーはまた、このインシデントについてGitHubでアドバイザリを公開しました:
アヒルをフィッシングするには?
npmのレジストリデータに基づくと、悪意のあるパッケージはユーザーによって提出されました duckdb_admin、そのメールアドレスは quack [at] duckdb.org 。他の侵害がフィッシングによって達成されたことを考えると、今回はアヒル自身が完全にフィッシングされたようです。狩人が獲物となり、かわいそうなアヒルはまっすぐ網の中へよろめき入ってしまいました(長い夜でした)。
