CVE-2024-YIKES: Serangan Supply Chain Cryptocurrency Worm
Judul asli: Incident Report: CVE-2024-YIKES
Mengapa Ini Penting
Menunjukkan kerentanan rantai pasokan software yang dapat memengaruhi jutaan developer
Laporan insiden keamanan menunjukkan kredensial developer JavaScript dicuri, memungkinkan serangan supply chain pada library Rust yang menyebar ke 4 juta developer sebelum diperbaiki secara tidak sengaja oleh worm cryptocurrency.
Marcus Chen, maintainer left-justify (847 juta unduhan mingguan), melaporkan pencurian transit pass dan laptop dari apartemennya. Chen kemudian menggunakan situs phishing yubikey-official-store.net untuk mengganti YubiKey yang hilang, memberikan kredensial npm-nya kepada penyerang. Penyerang menerbitkan left-justify versi baru dengan postinstall script yang mengeksfiltrasi kredensial dari file .npmrc, .pypirc, ~/.cargo/credentials, dan ~/.gem/credentials. Kredensial yang dicuri termasuk maintainer vulpine-lz4, library Rust untuk dekompresi LZ4. Library ini kemudian dimodifikasi untuk mendownload dan mengeksekusi shell script pada sistem yang mengandung kata 'build', 'ci', atau 'karen' di hostname. Malware ini akhirnya menyebar ke snekpack, tool build Python yang digunakan 60% paket PyPI, menginfeksi 4 juta developer sebelum diperbaiki secara tidak sengaja oleh cryptocurrency mining worm.