Впонедельник специалисты по безопасности и эксперты по всей отрасли оказались в ловушке страха, когда злоумышленник захватил контроль над системой и внедрил вредоносный код в ряд широко используемых пакетов с открытым исходным кодом в менеджере пакетов node.js (npm). Несмотря на все опасения, катастрофы, которую многие считали неизбежной, удалось избежать, а последствия атаки на цепочку поставок оказались кратковременными и минимальными.
Джош Джунон, разработчик и сопровождающий затронутых пакетов программного обеспечения, рано утром в понедельник подтвердил в социальных сетях, что его учётная запись npm была взломана с помощью социальной инженерии — по его словам, письмо с двухфакторной авторизацией выглядело легитимным. По словам исследователей, злоумышленник быстро опубликовал обновлённые пакеты программного обеспечения с полезными нагрузками, предназначенными для перехвата, манипулирования и перенаправления активности криптовалют.
Опасения, подогреваемые популярностью 18 уязвимых пакетов (по данным Aikido Security, их суммарное количество загрузок в неделю превысило 2 миллиарда) , довели некоторых защитников до полного истерики. В конечном итоге атака с использованием открытого исходного кода увенчалась успехом, но последствия были предотвращены.
«Сенсационные заголовки об атаке породили много страха, неопределённости и сомнений», — рассказала CyberScoop Мелисса Бишопинг, старший директор по исследованиям безопасности и дизайна продуктов в Tanium. «Общий радиус поражения атаки был относительно небольшим, её быстро обнаружили, а процесс реагирования на инцидент сработал по назначению. Это хорошая новость, а не страшилка».
Джунон сообщил, что его аккаунт был восстановлен примерно через восемь часов после того, как он подвергся атаке с использованием социальной инженерии, а заражённые версии пакетов были доступны до шести часов, прежде чем npm удалил их и опубликовал стабильные версии. Наиболее популярные из заражённых пакетов включают ansi-styles, debug, chalk и support-color.
Многие ожидали, что взлом приведёт к масштабной краже криптовалюты, но последствия атаки, по всей видимости, незначительны. На криптовалютном адресе злоумышленника было всего 66,52 доллара, сообщила Арда Бююккая, старший аналитик по киберугрозам в EclecticIQ, в своём сообщении в LinkedIn в понедельник.
По состоянию на утро среды исследователи платформы блокчейн-аналитики Arkham отследили около 1027 долларов США в украденной криптовалюте, которая стала причиной атаки.
«Хотя их мотивация, по-видимому, финансовая, легко понять, какие катастрофические последствия это могло иметь, и это напоминает нам о взломе XZ Utils в 2024 году и других недавних событиях», — сказал Бишопинг.
Исследователи из нескольких компаний по безопасности описали эту атаку как крупнейшую из зарегистрированных атак npm из-за потенциального масштаба. К счастью, технические действия злоумышленника привлекли внимание других разработчиков.
«Злоумышленники неудачно использовали широко известный обфускатор, что привело к немедленному обнаружению вскоре после публикации вредоносных версий», — сообщил в своем блоге Андрей Полковниченко, исследователь по безопасности в JFrog .
Хотя первоначальная волна атаки в основном была замедлена, исследователи предупреждают, что другие разработчики npm подверглись той же фишинговой кампании и были скомпрометированы. Среди других затронутых пакетов, как сообщается в блоге Sonatype в понедельник, — duckdb , proto-tinker-wc, prebid-universal-creative, prebid и prebid.js.
«Сообщество разработчиков ПО с открытым исходным кодом часто становится героями в нашей отрасли», — сказал Бишопинг. «Стремление, преданность делу и стойкость сообщества разработчиков ПО с открытым исходным кодом приносят пользу всем нам. Каждая организация должна подумать о том, как лучше поддерживать, финансировать и вносить вклад в проекты с открытым исходным кодом, поскольку без них технологическая индустрия пострадает».
Джош Джунон, разработчик и сопровождающий затронутых пакетов программного обеспечения, рано утром в понедельник подтвердил в социальных сетях, что его учётная запись npm была взломана с помощью социальной инженерии — по его словам, письмо с двухфакторной авторизацией выглядело легитимным. По словам исследователей, злоумышленник быстро опубликовал обновлённые пакеты программного обеспечения с полезными нагрузками, предназначенными для перехвата, манипулирования и перенаправления активности криптовалют.
Опасения, подогреваемые популярностью 18 уязвимых пакетов (по данным Aikido Security, их суммарное количество загрузок в неделю превысило 2 миллиарда) , довели некоторых защитников до полного истерики. В конечном итоге атака с использованием открытого исходного кода увенчалась успехом, но последствия были предотвращены.
«Сенсационные заголовки об атаке породили много страха, неопределённости и сомнений», — рассказала CyberScoop Мелисса Бишопинг, старший директор по исследованиям безопасности и дизайна продуктов в Tanium. «Общий радиус поражения атаки был относительно небольшим, её быстро обнаружили, а процесс реагирования на инцидент сработал по назначению. Это хорошая новость, а не страшилка».
Джунон сообщил, что его аккаунт был восстановлен примерно через восемь часов после того, как он подвергся атаке с использованием социальной инженерии, а заражённые версии пакетов были доступны до шести часов, прежде чем npm удалил их и опубликовал стабильные версии. Наиболее популярные из заражённых пакетов включают ansi-styles, debug, chalk и support-color.
Многие ожидали, что взлом приведёт к масштабной краже криптовалюты, но последствия атаки, по всей видимости, незначительны. На криптовалютном адресе злоумышленника было всего 66,52 доллара, сообщила Арда Бююккая, старший аналитик по киберугрозам в EclecticIQ, в своём сообщении в LinkedIn в понедельник.
По состоянию на утро среды исследователи платформы блокчейн-аналитики Arkham отследили около 1027 долларов США в украденной криптовалюте, которая стала причиной атаки.
«Хотя их мотивация, по-видимому, финансовая, легко понять, какие катастрофические последствия это могло иметь, и это напоминает нам о взломе XZ Utils в 2024 году и других недавних событиях», — сказал Бишопинг.
Исследователи из нескольких компаний по безопасности описали эту атаку как крупнейшую из зарегистрированных атак npm из-за потенциального масштаба. К счастью, технические действия злоумышленника привлекли внимание других разработчиков.
«Злоумышленники неудачно использовали широко известный обфускатор, что привело к немедленному обнаружению вскоре после публикации вредоносных версий», — сообщил в своем блоге Андрей Полковниченко, исследователь по безопасности в JFrog .
Хотя первоначальная волна атаки в основном была замедлена, исследователи предупреждают, что другие разработчики npm подверглись той же фишинговой кампании и были скомпрометированы. Среди других затронутых пакетов, как сообщается в блоге Sonatype в понедельник, — duckdb , proto-tinker-wc, prebid-universal-creative, prebid и prebid.js.
«Сообщество разработчиков ПО с открытым исходным кодом часто становится героями в нашей отрасли», — сказал Бишопинг. «Стремление, преданность делу и стойкость сообщества разработчиков ПО с открытым исходным кодом приносят пользу всем нам. Каждая организация должна подумать о том, как лучше поддерживать, финансировать и вносить вклад в проекты с открытым исходным кодом, поскольку без них технологическая индустрия пострадает».
