Фахівці з кібербезпеки компанії Sonatype виявили серйозну загрозу в екосистемі JavaScript – масштабну атаку на популярні npm-пакети. Зловмисники успішно впровадили шкідливий код у десять пакетів, більшість з яких пов’язані з криптовалютними операціями. Особливу небезпеку становить той факт, що деякі з цих пакетів активно використовуються розробниками протягом майже десяти років.
Технічні деталі компрометації
Найбільшу загрозу становить compromise пакету country-currency-map, який щотижня завантажується тисячі разів. Зловмисники впровадили шкідливий код через два обфусковані скрипти: /scripts/launch.js та /scripts/diagnostic-report.js. Ці скрипти автоматично активуються під час встановлення пакету та здійснюють несанкціонований збір критичних даних, включаючи змінні середовища, API-ключі, токени доступу та SSH-ключі. Вся викрадена інформація передається на віддалений сервер зловмисників.
Метод проникнення та масштаб загрози
За результатами розслідування Sonatype, атака була реалізована через масовий захоплення облікових записів розробників методом credential stuffing. Цей метод передбачає використання комбінацій логінів та паролів, які були скомпрометовані під час попередніх витоків даних. Підтвердженням цієї версії служить відсутність слідів злому в GitHub-репозиторіях постраждалих проектів та одночасна компрометація кількох пакетів різних розробників.
Поточна ситуація та заходи безпеки
Незважаючи на впровадження обов’язкової двофакторної автентифікації для популярних проектів npm у 2022 році, більшість скомпрометованих пакетів залишаються доступними та містять шкідливий код. Виняток становить country-currency-map, розробник якого оперативно відкликав шкідливу версію 2.1.8 та рекомендував використовувати безпечну версію 2.1.7.
Цей інцидент демонструє критичну важливість регулярного аудиту залежностей та впровадження суворих політик безпеки при роботі з відкритими пакетами. Розробникам наполегливо рекомендується: перевірити свої проекти на наявність скомпрометованих версій пакетів, негайно оновити облікові дані при виявленні ознак компрометації, використовувати двофакторну автентифікацію та регулярно змінювати паролі. Додатково варто впровадити автоматизовані інструменти моніторингу залежностей та проводити періодичний аудит безпеки проектів для запобігання подібним інцидентам у майбутньому.
