Ssylka

Угроза безопасности в npm: как похищенные пакеты крадут API-ключи?

В течение последних месяцев специалисты по кибербезопасности зафиксировали инцидент с захватом нескольких пакетов, связанных с криптовалютами, размещённых в реестре npm. Пакеты, изначально доступные на более девяти лет, стали объектом вмешательства злоумышленников, внедривших в них запутанные скрипты, предназначенные для вытягивания конфиденциальных данных.
Угроза безопасности в npm: как похищенные пакеты крадут API-ключи?
Изображение носит иллюстративный характер

В числе скомпрометированных пакетов оказались следующие версии: country-currency-map 2.1.8, bnb-javascript-sdk-nobroadcast 2.16.16, @bithighlander/bitcoin-cash-js-lib 5.2.2, eslint-config-travix 6.3.1, @crosswise-finance1/sdk-v2 0.1.21, @keepkey/device-protocol 7.13.3, @veniceswap/uikit 0.65.34, @veniceswap/eslint-config-pancake 1.6.2, babel-preset-travix 1.2.1, @travix/ui-themes 1.1.5 и @coinmasters/types 4.8.16.

Модификации были внесены в два отдельных скрипта внутри пакетов: "package/scripts/launch.js" и "package/scripts/diagnostic-report.js". Запущенный сразу после установки, данный код автоматически собирает чувствительные данные, включая API-ключи, access-токены, SSH-ключи и прочие переменные окружения, передавая их на удалённый сервер eoi2ectd5a5tn1h.m.pipedream[.]net.

Отмечается явное расхождение: несмотря на изменение содержимого npm-пакетов, соответствующие репозитории на GitHub не содержат никаких следов внесённых изменений. Такая ситуация вызывает вопросы относительно метода внедрения вредоносного кода и указывает на возможность скрытых уязвимостей в процессе обновления пакетов.

Исследователь Sonatype Ax Sharma предположил, что атака могла произойти из-за компрометации старых аккаунтов мантейнеров npm. В числе возможных механизмов атаки он выделил использование ранее утёкших логинов и паролей (credential stuffing) и захват контроля над просроченными доменами. Одновременное проведение атак на несколько проектов и аккаунтов указывает на преимущественную вероятность атаки через компрометацию учётных данных.

Инцидент подчёркивает необходимость для разработчиков и поддерживающих проектов срочно внедрить двухфакторную аутентификацию (2FA) для защиты учётных записей. Организациям рекомендуется усиленно следить за управлением сторонними зависимостями: проводить регулярные проверки репозиториев и уделять внимание безопасности на всех этапах разработки.

Данный случай служит сигналом к пересмотру стандартов защиты цепочки поставок программного обеспечения. Разработчикам и организациям советуют тщательно мониторить сторонние репозитории и применять новые меры безопасности, чтобы уменьшить риск утечек конфиденциальных данных и повысить устойчивость информационных систем.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов