Durante a noite, a partir das 01:16 UTC do dia 9 de setembro, fomos alertados sobre mais pacotes comprometidos, incluindo:
- duckdb (148.000 downloads semanais)
- @duckdb/node-api (87.000 downloads semanais)
- @duckdb/node-bindings (87.000 downloads semanais)
- @duckdb/duckdb-wasm (64.000 downloads semanais)
Todos esses pacotes tiveram uma nova versão 1.3.3 lançada (no caso da versão wasm, foi a versão 1.29.2), que continha o mesmo código malicioso que vimos no comprometimento de pacotes com mais de 2 mil milhões de downloads.
Carga maliciosa
A carga útil observada neste ataque é praticamente idêntica à documentada anteriormente, tentando esvaziar carteiras de criptomoedas. É uma escolha interessante implementar essa carga útil dentro de um pacote como duckdb, dado que isto será executado principalmente num backend. Isso sugere que os atacantes podem não estar muito conscientes do que estão realmente a fazer.
Resposta do fornecedor
No momento da redação deste artigo, a única indicação de que algo ocorreu é o facto de o fornecedor ter marcado a versão mais recente como obsoleta:
O fornecedor também divulgou um aviso no GitHub sobre o incidente:
Como pescar um pato?
Com base nos dados do registo do npm, o pacote malicioso foi enviado pelo utilizador duckdb_admin, que tem o e-mail quack [at] duckdb.org . Dado que os outros compromissos foram alcançados através de phishing, parece que desta vez o próprio pato foi fisgado, anzol, linha e chumbo. O caçador tornou-se a presa, e o pobre pato cambaleou direto para a rede (foi uma longa noite).
Proteja seu software agora
.avif)
