Sebuah kasus serangan rantai pasokan perangkat lunak telah diamati dalam registri peti bahasa pemrograman Rust yang memanfaatkan teknik typosquatting untuk menerbitkan perpustakaan jahat yang berisi malware.
Perusahaan keamanan siber SentinelOne menjuluki serangan itu “CrateDepression.”
Serangan typosquatting terjadi ketika musuh meniru nama paket populer di registri publik dengan harapan pengembang akan secara tidak sengaja mengunduh paket jahat alih-alih perpustakaan yang sah.
Dalam hal ini, peti yang dimaksud adalah “rustdecimal,” salah ketik dari paket “rust_decimal” asli yang telah diunduh lebih dari 3,5 juta kali hingga saat ini. Paket itu ditandai awal bulan ini pada 3 Mei oleh Askar Safin, pengembang yang berbasis di Moskow.
Menurut penasehat yang diterbitkan oleh pengelola Rust, peti dikatakan pertama kali didorong pada 25 Maret 2022, menarik kurang dari 500 unduhan sebelum dihapus secara permanen dari repositori.
Seperti serangan salah ketik sebelumnya semacam ini, pustaka yang salah eja mereplikasi seluruh fungsionalitas pustaka asli sambil juga memperkenalkan fungsi jahat yang dirancang untuk mengambil biner Golang yang dihosting di URL jarak jauh.
Secara khusus, fungsi baru memeriksa apakah variabel lingkungan “GITLAB_CI” disetel, menunjukkan “minat tunggal pada pipeline integrasi berkelanjutan (CI) GitLab,” catat SentinelOne.
Payload, yang dilengkapi untuk menangkap tangkapan layar, mencatat penekanan tombol, dan mengunduh file arbitrer, mampu berjalan di Linux dan macOS, tetapi tidak pada sistem Windows. Tujuan akhir dari kampanye ini belum diketahui.
Sementara serangan typosquatting sebelumnya telah didokumentasikan terhadap NPM (JavaScript), PyPi (Python), dan RubyGems (Ruby), pengembangan menandai contoh yang tidak biasa di mana insiden seperti itu telah ditemukan di ekosistem Rust.
“Serangan rantai pasokan perangkat lunak telah berubah dari kejadian langka menjadi pendekatan yang sangat diinginkan bagi penyerang untuk ‘memancing dengan dinamit’ dalam upaya menginfeksi seluruh populasi pengguna sekaligus,” kata peneliti SentinelOne.
“Dalam kasus CrateDepression, minat penargetan dalam lingkungan pembuatan perangkat lunak cloud menunjukkan bahwa penyerang dapat mencoba memanfaatkan infeksi ini untuk serangan rantai pasokan skala besar.”