Peneliti keamanan Snyk mendistribusikan paket NPM berbahaya yang menargetkan cursor.com

 (sourcecodered.com)
1 poin oleh GN⁺ 2025-01-14 | Belum ada komentar. | Bagikan ke WhatsApp

  • Distribusi paket NPM berbahaya oleh peneliti keamanan Snyk

    • Setiap pagi, penulis memeriksa paket berbahaya yang terdeteksi pada malam sebelumnya. Ini mirip seperti nelayan yang memeriksa ikan yang tertangkap di jaringnya.
    • Baru-baru ini, seorang pengguna Snyk menemukan beberapa paket yang diunggah ke NPM dan menargetkan Cursor.com.
    • Paket-paket ini memiliki nama seperti "cursor-retreival", "cursor-always-local", dan "cursor-shadow-workspace".
    • Jika paket-paket ini dipasang, mereka mengumpulkan data sistem dan mengirimkannya ke layanan web yang dikendalikan penyerang.

  • Cara kerja paket

    • Paket mengumpulkan output dari perintah env, sehingga membocorkan informasi sensitif seperti kunci AWS, token NPM, dan kredensial GitHub.
    • Data yang dikumpulkan dikirim ke situs web milik penyerang.

  • Serangan yang dimaksudkan

    • Paket-paket ini tampaknya mencoba melakukan serangan dependency confusion terhadap perusahaan tertentu.
    • Tidak diketahui apakah Cursor.com menjalankan program bug bounty, tetapi diduga tujuannya adalah memancing karyawan Cursor agar tanpa sengaja memasang paket publik ini.

  • Identifikasi paket berbahaya

    • Pemindai analisis paket OpenSSF mengidentifikasi paket ini sebagai berbahaya.
    • OSV membuat tiga advisory malware: MAL-2025-27, MAL-2025-28, dan MAL-2025-29.

  • Penerbit paket

    • Menurut metadata paket NPM, paket-paket ini dipublikasikan oleh pengguna yang menggunakan alamat email snyk.io milik tim Snyk Security Labs.
    • Pada kolom author di metadata, ada penyebutan seorang karyawan Snyk. Ini bisa dipalsukan, tetapi penerbit menggunakan email Snyk yang terverifikasi.

  • Cara merespons

    • NPM telah diberi peringatan, tetapi paket-paket ini belum ditandai sebagai berbahaya, dan sebagian besar alat keamanan software supply chain tidak dapat melindungi sebelum mengetahui bahwa paket tersebut berbahaya.
    • Sebaiknya jangan memasang paket NPM secara sembarangan, dan penting untuk mengetahui sinyal yang bisa digunakan untuk menilai legitimasi sebuah paket.
    • Semua paket hanya berisi dua file, yaitu package.json dan index.js (atau main.js). Ini adalah salah satu dari beberapa sinyal untuk menilai legitimasi paket.
    • Diharapkan NPM akan segera menghapus paket-paket tersebut.

Bacaan terkait

Belum ada komentar.

Belum ada komentar.