В течение последних месяцев специалисты по кибербезопасности зафиксировали инцидент с захватом нескольких пакетов, связанных с криптовалютами, размещённых в реестре npm. Пакеты, изначально доступные на более девяти лет, стали объектом вмешательства злоумышленников, внедривших в них запутанные скрипты, предназначенные для вытягивания конфиденциальных данных.
В числе скомпрометированных пакетов оказались следующие версии: country-currency-map 2.1.8, bnb-javascript-sdk-nobroadcast 2.16.16, @bithighlander/bitcoin-cash-js-lib 5.2.2, eslint-config-travix 6.3.1, @crosswise-finance1/sdk-v2 0.1.21, @keepkey/device-protocol 7.13.3, @veniceswap/uikit 0.65.34, @veniceswap/eslint-config-pancake 1.6.2, babel-preset-travix 1.2.1, @travix/ui-themes 1.1.5 и @coinmasters/types 4.8.16.
Модификации были внесены в два отдельных скрипта внутри пакетов: "package/scripts/launch.js" и "package/scripts/diagnostic-report.js". Запущенный сразу после установки, данный код автоматически собирает чувствительные данные, включая API-ключи, access-токены, SSH-ключи и прочие переменные окружения, передавая их на удалённый сервер eoi2ectd5a5tn1h.m.pipedream[.]net.
Отмечается явное расхождение: несмотря на изменение содержимого npm-пакетов, соответствующие репозитории на GitHub не содержат никаких следов внесённых изменений. Такая ситуация вызывает вопросы относительно метода внедрения вредоносного кода и указывает на возможность скрытых уязвимостей в процессе обновления пакетов.
Исследователь Sonatype Ax Sharma предположил, что атака могла произойти из-за компрометации старых аккаунтов мантейнеров npm. В числе возможных механизмов атаки он выделил использование ранее утёкших логинов и паролей (credential stuffing) и захват контроля над просроченными доменами. Одновременное проведение атак на несколько проектов и аккаунтов указывает на преимущественную вероятность атаки через компрометацию учётных данных.
Инцидент подчёркивает необходимость для разработчиков и поддерживающих проектов срочно внедрить двухфакторную аутентификацию (2FA) для защиты учётных записей. Организациям рекомендуется усиленно следить за управлением сторонними зависимостями: проводить регулярные проверки репозиториев и уделять внимание безопасности на всех этапах разработки.
Данный случай служит сигналом к пересмотру стандартов защиты цепочки поставок программного обеспечения. Разработчикам и организациям советуют тщательно мониторить сторонние репозитории и применять новые меры безопасности, чтобы уменьшить риск утечек конфиденциальных данных и повысить устойчивость информационных систем.
Изображение носит иллюстративный характер
В числе скомпрометированных пакетов оказались следующие версии: country-currency-map 2.1.8, bnb-javascript-sdk-nobroadcast 2.16.16, @bithighlander/bitcoin-cash-js-lib 5.2.2, eslint-config-travix 6.3.1, @crosswise-finance1/sdk-v2 0.1.21, @keepkey/device-protocol 7.13.3, @veniceswap/uikit 0.65.34, @veniceswap/eslint-config-pancake 1.6.2, babel-preset-travix 1.2.1, @travix/ui-themes 1.1.5 и @coinmasters/types 4.8.16.
Модификации были внесены в два отдельных скрипта внутри пакетов: "package/scripts/launch.js" и "package/scripts/diagnostic-report.js". Запущенный сразу после установки, данный код автоматически собирает чувствительные данные, включая API-ключи, access-токены, SSH-ключи и прочие переменные окружения, передавая их на удалённый сервер eoi2ectd5a5tn1h.m.pipedream[.]net.
Отмечается явное расхождение: несмотря на изменение содержимого npm-пакетов, соответствующие репозитории на GitHub не содержат никаких следов внесённых изменений. Такая ситуация вызывает вопросы относительно метода внедрения вредоносного кода и указывает на возможность скрытых уязвимостей в процессе обновления пакетов.
Исследователь Sonatype Ax Sharma предположил, что атака могла произойти из-за компрометации старых аккаунтов мантейнеров npm. В числе возможных механизмов атаки он выделил использование ранее утёкших логинов и паролей (credential stuffing) и захват контроля над просроченными доменами. Одновременное проведение атак на несколько проектов и аккаунтов указывает на преимущественную вероятность атаки через компрометацию учётных данных.
Инцидент подчёркивает необходимость для разработчиков и поддерживающих проектов срочно внедрить двухфакторную аутентификацию (2FA) для защиты учётных записей. Организациям рекомендуется усиленно следить за управлением сторонними зависимостями: проводить регулярные проверки репозиториев и уделять внимание безопасности на всех этапах разработки.
Данный случай служит сигналом к пересмотру стандартов защиты цепочки поставок программного обеспечения. Разработчикам и организациям советуют тщательно мониторить сторонние репозитории и применять новые меры безопасности, чтобы уменьшить риск утечек конфиденциальных данных и повысить устойчивость информационных систем.
