Desenvolvedores do Rspack confirmaram que dois de seus pacotes npm, @rspack/core e @rspack/cli, foram comprometidos em um ataque à cadeia de suprimentos. Versões maliciosas dos pacotes foram publicadas no registro oficial, contendo scripts para mineração de criptomoedas. As versões comprometidas, 1.1.7 de ambos os pacotes, foram removidas do npm, sendo a versão segura mais recente a 1.1.8.

Segundo a empresa de segurança Socket, os atacantes obtiveram acesso não autorizado para publicar as versões comprometidas, que incluem scripts capazes de roubar credenciais de serviços em nuvem e informações de localização. O Rspack, alternativa ao Webpack e desenvolvido originalmente pela ByteDance, é usado por empresas como Alibaba, Amazon, Discord e Microsoft. Seus pacotes comprometidos possuem alta popularidade, com mais de 300 mil e 145 mil downloads semanais, respectivamente.

Os pacotes maliciosos se conectavam a servidores remotos para roubo de dados e limitavam infecções a máquinas em países como China, Rússia, Hong Kong, Belarus e Irã. O ataque instalava o minerador de criptomoedas XMRig em sistemas Linux comprometidos, ativado por um script postinstall no arquivo package.json, executado automaticamente após a instalação. Após detectar o ataque, os responsáveis pelo projeto publicaram versões limpas dos pacotes, revogaram tokens npm e GitHub, ajustaram permissões e realizaram auditorias no código-fonte.

Uma investigação sobre como os tokens foram roubados está em andamento. Especialistas da Socket destacam a necessidade de medidas mais rigorosas para proteger gerenciadores de pacotes, como verificações de autenticidade obrigatórias. No entanto, alertam que ataques, como o recente incidente no ecossistema Python, mostram que medidas podem ser contornadas através de técnicas como envenenamento de cache.