Атака на цепочку поставок затронула релизы Axios в npm, пользователей призвали сменить ключи

Два вредоносных релиза npm-пакета Axios вызвали предупреждения у разработчиков: нужно сменить учетные данные (credentials) и считать затронутые системы скомпрометированными после атаки на цепочку поставок, в ходе которой в популярную библиотеку для HTTP на JavaScript был внедрен вредоносный код.

Компрометация впервые была сообщена компанией по кибербезопасности Socket, которая заявила, что axios@1.14.1 и axios@0.30.4 были изменены, чтобы подключать plain-crypto-js@4.2.1 в виде обычной криптографии (plain-crypto-js@4.2.1) — вредоносную зависимость, которая автоматически выполнялась во время установки до того, как релизы были удалены из npm.

По данным компании OX Security, измененный код может предоставлять злоумышленникам удаленный доступ к зараженным устройствам, позволяя им похищать конфиденциальные данные, такие как учетные данные для входа, API-ключи и информацию о криптокошельках.

Инцидент показывает, как одна-единственная скомпрометированная компонента с открытым исходным кодом потенциально может распространяться волнами по тысячам приложений, которые на нее полагаются, подвергая риску не только разработчиков, но и платформы и пользователей, подключенных к этой системе.

Компании по безопасности призывают к смене ключей, проведению аудитов систем

OX Security предупредила разработчиков, которые устанавливали axios@1.14.1 или axios@0.30.4, считать свои системы полностью скомпрометированными и немедленно сменить учетные данные, включая API-ключи и токены сессий.

Socket сообщил, что скомпрометированные релизы Axios были изменены так, чтобы включать зависимость от plain-crypto-js@4.2.1 — пакета, опубликованного вскоре перед инцидентом и позже идентифицированного как вредоносный.

Связано: __ Браузерное расширение Trust Wallet сбито с сети из-за «багa» в Chrome Store, заявил CEO

Компания заявила, что зависимость была настроена на автоматический запуск во время установки через post-install script, что позволяет злоумышленникам выполнять код на целевых системах без дополнительного взаимодействия пользователя.

Socket посоветовал разработчикам проверить свои проекты и файлы зависимостей на наличие затронутых версий Axios и связанного пакета plain-crypto-js@4.2.1, а также удалить или откатить любые скомпрометированные версии немедленно.

Ранее криптоинциденты подчеркивают риски цепочки поставок

Ранее криптоинциденты показали, как нарушения в цепочке поставок могут разрастаться от украденной информации о разработчиках до потерь кошельков, видимых пользователям.

3 января ончейн-исследователь ZachXBT сообщил, что “сотни” кошельков в сетях, совместимых с Ethereum Virtual Machine, были опустошены в масштабной атаке, которая откачивала небольшие суммы от каждого пострадавшего.

Исследователь кибербезопасности Владимир С. сказал, что инцидент, возможно, был связан с декабрьским взломом, затронувшим Trust Wallet, который привел примерно к $7 млн потерь в результате атаки более чем на 2,500 кошельков.

Позже Trust Wallet заявила, что источник взлома мог заключаться в компрометации цепочки поставок, связанной с npm-пакетами, используемыми в ее процессе разработки.

Magazine: __ Никто не знает, заработает ли вообще квантово-устойчивая криптография

Cointelegraph придерживается независимой и прозрачной журналистики. Эта новостная статья подготовлена в соответствии с Редакционной политикой Cointelegraph и направлена на предоставление точной и своевременной информации. Читателям рекомендуется самостоятельно проверять информацию. Прочитайте нашу Редакционную политику

• #Blockchain
• #Security
• #Hackers
• #Cybersecurity
• #Hacks