9月9日01:16(UTC)から始まった夜間に、さらに多くのパッケージが侵害されたとの警告を受けました。これには以下が含まれます:
- duckdb(週間ダウンロード数 148,000)
- @duckdb/node-api(週間ダウンロード数 87,000)
- @duckdb/node-bindings(週間ダウンロード数 87,000)
- @duckdb/duckdb-wasm(週間ダウンロード数 64,000)
これらのパッケージはすべて新バージョン1.3.3がリリースされました(wasmバージョンの場合はバージョン 1.29.2)、これは私たちが確認したものと同一の悪意のあるコードを含んでいました。 20億回以上のダウンロードがあるパッケージの改ざん
悪意のあるペイロード
この攻撃で観測されたペイロードは、以前に記録されたものとほぼ同一であり、暗号通貨ウォレットから資金を流出させようとするものです。このようなパッケージ内にこのペイロードを展開するという選択は興味深いものです。 ダックDB主にバックエンド上で実行されることを考慮すると、攻撃者は実際に何をしているのかあまり認識していない可能性があることを示唆している。
ベンダーの応答
執筆時点では、何かが起こったことを示す唯一の兆候は、ベンダーが最新リリースを非推奨としてマークした事実である:
ベンダーはまた、この件についてGitHubでアドバイザリを公開した:
アヒルをどう騙すか?
npmのレジストリデータに基づくと、この悪意のあるパッケージはユーザーによって提出されました ダックDB管理者メールアドレスを持つ quack [at] duckdb.org 他の侵害はフィッシングによって達成されたことを考えると、今回は鴨そのものが丸ごと釣られたようだ。狩る者が狩られる側となり、哀れな鴨はまっすぐ網の中へよたよたと歩み込んだ(長い夜だった)。
4.7/5
今すぐソフトウェアを保護しましょう
.avif)
