Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GBHackers · 27.4., 12:11 · sikkerhet

Npm-orm sprer seg via Namastex Labs-pakker og stjeler hemmeligheter på tvers av npm og PyPI

SYNOPSIS_GENERERT

En backdooret versjon av @automagik/genie og pgserve høster .env, SSH-nøkler og krypto-lommebok-data ved install, og bruker stjålne npm-tokens til å republisere infiserte versjoner under nye pakkenavn.

Socket flagget @automagik/genie 4.260421.39 som ondsinnet før Namastex Labs hadde rukket å reagere. Den dypere undersøkelsen viser at angriperen byttet ut normal funksjonalitet i en serie populære pakker med en install-time-payload som kjører øyeblikkelig når pakken installeres. Kompromitterte versjoner inkluderer @automagik/genie 4.260421.33 til 4.260421.39 og pgserve 1.1.11 til 1.1.13. Alle deler innebygd RSA-nøkkelmateriale fra samme malware-familie.

Namastex Labs leverer KI-agent-rammeverket Automagik. @automagik/genie er en CLI for KI-koding og agent-orkestrering med rundt 6 700 ukentlige nedlastinger, mens pgserve er en embedded PostgreSQL for utvikling og testing med rundt 1 300 ukentlige nedlastinger. Andre rammede pakker spenner over WebSocket-integrasjon, LoopBack-til-Elasticsearch-konnektorer og front-end-design-tokens, noe som utvider sprengradiusen til både backend, infrastruktur og UI-stacker.

Payloaden gjør fire ting parallelt. Den skanner environment-variabler og høyverdi-konfigurasjonsfiler som .npmrc, SSH-nøkler, Git-credentials, cloud-credentials, Kubernetes- og Docker-config, Terraform- og Vault-data, lokale .env-filer og shell-historikk. Den prøver å lese Chrome login-storage og krypto-lommebøker som MetaMask, Phantom, Solana, Ethereum og Exodus. Eksfiltrering går både til en telemetri-API og til et Internet Computer-canister-endepunkt, kryptert med AES-256-CBC og RSA-OAEP-SHA256.

«Tradecraft, install-time-execution, dual eksfiltrering via webhook og ICP-canister, og kryss-økosystem-spredning matcher TeamPCP-koblede CanisterWorm», skriver Socket-forskerne om mønsteret.

Det skumleste er orm-logikken: payloaden henter npm-tokens fra offerets maskin, lister ut hvilke pakker offeret kan publisere, laster ned disse, injiserer en ondsinnet postinstall-hook og republiserer nye versjoner med stjålne credentials. Hvis PyPI-credentials finnes lokalt forbereder skriptet en .pth-basert payload som kjøres når Python starter, og bruker Twine til å laste opp backdoorede Python-pakker. Smitten flyter altså fra npm til PyPI via samme utvikler.

Hva bør du gjøre?

  1. Sjekk lock-filer for de ovennevnte versjonene av @automagik/genie og pgserve. Søk også etter @fairwords/websocket, @fairwords/loopback-connector-es og @openwebconcept-pakker.
  2. Roter alle hemmeligheter som har vært tilgjengelige på en infisert maskin: npm-tokens, SSH-nøkler, cloud-credentials, krypto-seeds.
  3. Slå på --ignore-scripts som default i CI for utrustede pakker. Postinstall-hooks er angrepsvektoren.
  4. Bruk Socket eller en lignende AI-scanner i pre-merge for nye dependencies.
  5. Skille utvikling og produksjon på maskinnivå: kjør pakkeinstaller i container, ikke direkte på laptopen din.
Åpne eksternt kildedokument
sikkerhetopen-sourceagenter

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN