Nhà nghiên cứu bảo mật của Snyk phát hành gói NPM độc hại nhắm vào cursor.com

 (sourcecodered.com)
1 điểm bởi GN⁺ 2025-01-14 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp

  • Nhà nghiên cứu bảo mật của Snyk phát hành gói NPM độc hại

    • Mỗi sáng, tác giả kiểm tra các gói độc hại được phát hiện trong đêm hôm trước. Việc này giống như một ngư dân kiểm tra số cá mắc trong lưới.
    • Gần đây, một người dùng của Snyk đã phát hiện nhiều gói được phát hành lên NPM nhằm vào Cursor.com.
    • Các gói này có tên như "cursor-retreival", "cursor-always-local", "cursor-shadow-workspace".
    • Khi cài đặt các gói này, chúng sẽ thu thập dữ liệu hệ thống và gửi đến một dịch vụ web do kẻ tấn công kiểm soát.

  • Cách các gói hoạt động

    • Các gói thu thập đầu ra của lệnh env, làm lộ thông tin nhạy cảm như khóa AWS, token NPM, thông tin xác thực GitHub.
    • Dữ liệu thu thập được sẽ được gửi tới một trang web do kẻ tấn công sở hữu.

  • Cuộc tấn công có chủ đích

    • Các gói này có vẻ là một nỗ lực tấn công dependency confusion nhắm vào một công ty cụ thể.
    • Không rõ Cursor.com có vận hành chương trình bug bounty hay không, nhưng có suy đoán rằng mục tiêu là khiến nhân viên Cursor vô tình cài đặt các gói công khai này.

  • Nhận diện gói độc hại

    • Trình quét phân tích gói của OpenSSF đã xác định các gói này là độc hại.
    • OSV đã tạo 3 cảnh báo phần mềm độc hại: MAL-2025-27, MAL-2025-28, MAL-2025-29.

  • Người phát hành gói

    • Theo metadata của gói NPM, một người dùng sử dụng địa chỉ email snyk.io của nhóm Snyk Security Labs đã đăng các gói này.
    • Trường tác giả trong metadata có nhắc đến một nhân viên của Snyk; dù điều này có thể bị giả mạo, người phát hành đã dùng email Snyk đã được xác thực.

  • Cách ứng phó

    • Đã cảnh báo cho NPM nhưng các gói này vẫn chưa bị đánh dấu là độc hại, và hầu hết các công cụ bảo mật chuỗi cung ứng phần mềm không thể bảo vệ trước khi biết gói là độc hại.
    • Không nên cài đặt gói NPM một cách mù quáng; cần biết các dấu hiệu giúp đánh giá tính hợp pháp của gói.
    • Tất cả các gói chỉ chứa hai tệp: package.json và index.js (hoặc main.js). Đây là một trong nhiều dấu hiệu có thể dùng để đánh giá tính hợp pháp của gói.
    • Kỳ vọng NPM sẽ sớm gỡ bỏ các gói này.

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.