Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

В экосистеме JavaScript зафиксирован новый крупный инцидент: в результате фишинговой атаки злоумышленники получили доступ к аккаунту популярного мейнтейнера npm-пакетов Джоша Джунона (известного как qix) и внедрили вредоносный код в целый ряд библиотек, которые суммарно загружаются более 2,6 миллиарда раз в неделю.

Фишинговое письмо пришло с поддельного домена npmjs.help и выглядело как официальное уведомление о необходимости обновить двухфакторную аутентификацию.

В сообщении утверждалось, что в противном случае аккаунты разработчиков будут заблокированы с 10 сентября 2025 года. Попавшись на эту уловку, мейнтейнер лишился доступа к своим проектам.

 

Злоумышленники обновили популярные пакеты, включая chalk, debug, ansi-styles, strip-ansi и другие. В index.js был добавлен вредоносный код, который встраивается в браузер и перехватывает криптотранзакции.

При обращении к кошелькам Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash вредоносная логика подменяет адреса получателей на кошельки атакующих. Для этого код перехватывает вызовы fetch, XMLHttpRequest и web3-API вроде window.ethereum.

По данным Aikido Security, атака затрагивает только часть пользователей — для успешного заражения нужно было установить скомпрометированные пакеты в определённый промежуток времени (с 9:00 до 11:30 утра по восточному времени) и сгенерировать package-lock.json именно в этот период. Тем не менее масштаб всё равно внушительный: под удар попали десятки библиотек, на которых держится огромное количество проектов.

Команда npm уже удалила вредоносные версии, но случай снова показал, насколько уязвимы цепочки поставок ПО. За последние месяцы аналогичные атаки коснулись и других популярных библиотек — в том числе eslint-config-prettier и ещё десятка пакетов, которые были превращены в инфостилеры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атаки на цепочки поставок компаний выросли на 110% за восемь месяцев

Число атак на цепочки поставок за последние восемь месяцев выросло на 110% по сравнению с прошлым годом. Сегодня на такие инциденты приходится уже около 30% всех кибератак, подсчитали специалисты «Информзащиты». Эксперты объясняют рост тем, что бизнес всё активнее цифровизуется, использует открытый код и новые BB-инструменты.

При этом экосистемы поставок становятся всё сложнее, а это значит больше подрядчиков, сервисов и каналов, через которые можно проникнуть в инфраструктуру. Взломав одного поставщика, злоумышленники получают доступ сразу к множеству крупных клиентов.

Чаще всего подобные атаки фиксируются в промышленности (41%), ретейле (32%), энергетике (15%) и высокотехнологичных компаниях (12%). Здесь подрядчики и поставщики нередко имеют прямой доступ к критически важным системам, что делает их удобной целью.

Дополнительный фактор риска — использование open-source модулей, которые входят почти в любое современное ПО. Эксперты отмечают, что до 90% приложений так или иначе зависят от открытых библиотек, а быстрые темпы разработки с помощью AI повышают шанс повторного применения небезопасного кода.

Кроме того, киберпреступники становятся всё профессиональнее: активно применяют эксплойты нулевого дня и ищут уязвимости во VPN и периферийных устройствах.

По мнению специалистов, обычные проверки подрядчиков уже не спасают. Для снижения рисков рекомендуют вести подробный учёт всех компонентов ПО (SBOM), требовать от поставщиков прозрачности и чётких сроков устранения уязвимостей, использовать Zero Trust и микросегментацию в сетях, а также применять автоматизированные инструменты для поиска и исправления проблем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru