На платформе npm выявлено вредоносное обновление для @ctrl/tinycolor (еженедельные загрузки = 2,2 млн). Угроза стала частью крупной атаки на цепочки поставок, которая охватила более 40 пакетов различных разработчиков.
Механизм атаки: взломанные версии содержат функцию NpmModule.updatePackage. Она загружает архив пакета, изменяет package.json, внедряет скрипт, переупаковывает и заново публикует пакет, обеспечивая автоматическое распространение трояна среди последующих пакетов.
Целью атакующих - обнаружить конфиденциальные данные с помощью TruffleHog. Полученная информация передается на удаленный сервер, контролируемый злоумышленниками. Данная угроза затрагивает как пользователей Windows, так и Linux-платформ.
Каждый пакет с трояном содержит вредоносный файл JavaScript ("bundle.js"). Задача скрипта - загрузка и активация TruffleHog. Этот инструмент способен выявлять сохранённые ключи и пароли на компьютере жертвы, включая важные маркеры.
Скрипт сначала тестирует подлинность токенов npm посредством проверки доступности соответствующего сервиса и обращается к API GitHub при наличии доступного ключа. Дополнительно он ищет временные облака, способные раскрывать кратковременные данные аутентификации в системах непрерывной интеграции.
Для автоматической настройки нового задания GitHub Actions скрит применяет личные данные разработчиков.
Пользователям рекомендуется проверить собственные окружения разработки и сменить любые используемые публичные секреты (токены npm и прочие), особенно если затронутые библиотеки ранее содержали инструменты для публикации пакетов.
Важно отметить, что созданные рабочие процессы остаются активными даже после окончания первоначальной сессии на взломанном устройстве. Если впоследствии запускается сборка CI, этот рабочий процесс потенциально сможет вновь собирать чувствительные данные и передавать их злоумышленникам.
Механизм атаки: взломанные версии содержат функцию NpmModule.updatePackage. Она загружает архив пакета, изменяет package.json, внедряет скрипт, переупаковывает и заново публикует пакет, обеспечивая автоматическое распространение трояна среди последующих пакетов.
Целью атакующих - обнаружить конфиденциальные данные с помощью TruffleHog. Полученная информация передается на удаленный сервер, контролируемый злоумышленниками. Данная угроза затрагивает как пользователей Windows, так и Linux-платформ.
Каждый пакет с трояном содержит вредоносный файл JavaScript ("bundle.js"). Задача скрипта - загрузка и активация TruffleHog. Этот инструмент способен выявлять сохранённые ключи и пароли на компьютере жертвы, включая важные маркеры.
Скрипт сначала тестирует подлинность токенов npm посредством проверки доступности соответствующего сервиса и обращается к API GitHub при наличии доступного ключа. Дополнительно он ищет временные облака, способные раскрывать кратковременные данные аутентификации в системах непрерывной интеграции.
Для автоматической настройки нового задания GitHub Actions скрит применяет личные данные разработчиков.
Пользователям рекомендуется проверить собственные окружения разработки и сменить любые используемые публичные секреты (токены npm и прочие), особенно если затронутые библиотеки ранее содержали инструменты для публикации пакетов.
Важно отметить, что созданные рабочие процессы остаются активными даже после окончания первоначальной сессии на взломанном устройстве. Если впоследствии запускается сборка CI, этот рабочий процесс потенциально сможет вновь собирать чувствительные данные и передавать их злоумышленникам.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь