Útok na dodavatelský řetězec postihl desítky oblíbených balíčků v registru npm. Podle dostupných informací došlo ke kompromitaci účtu správce po úspěšném phishingovém útoku, což umožnilo publikaci škodlivých verzí. Incident se týká mimo jiné balíčků chalk a debug, které patří k nejpoužívanějším v open source komunitě.

Správce Josh Junon (alias Qix) obdržel podvržený e-mail, který se tvářil jako zpráva od npm. Po kliknutí na odkaz a zadání přihlašovacích údajů včetně kódu 2FA získali útočníci přístup k jeho účtu a následně nahráli upravené balíčky. „Omlouvám se všem, měl jsem věnovat větší pozornost,“ uvedl Junon na síti Bluesky. „Nepřipadá mi to jako já; měl jsem stresující týden. Budu pracovat na tom, aby se to vyřešilo.“

Podle analýzy společnosti Aikido Security obsahoval škodlivý kód funkce pro přesměrování kryptoměnových transakcí na peněženky ovládané útočníky. Malware se spouštěl v prohlížeči a napojoval se na rozhraní jako window.fetch nebo window.ethereum.request, čímž mohl manipulovat se síťovým provozem a API kryptoměnových aplikací.

Seznam kompromitovaných balíčků zahrnoval 20 projektů s více než 2 miliardami týdenních stažení. Patří mezi ně například ansi-regex, chalk-template, color-string, slice-ansi nebo wrap-ansi. Incident se navíc netýkal pouze účtu Qixe – podobný útok zasáhl i správce pod přezdívkou duckdb_admin. Mezi zasaženými balíčky byly například @duckdb/duckdb-wasm či prebid.

Podle údajů společnosti Socket získali útočníci prostřednictvím tohoto útoku přibližně 600 USD, zejména v kryptoměnách Ethereum a Solana. I když částka není vysoká, incident znovu poukazuje na zranitelnost open source ekosystému a potřebu zabezpečení vývojářských procesů, zejména v CI/CD pipeline.

Ilkka Turunen ze společnosti Sonatype k tomu uvedl: „To, co se odehrálo u balíčků npm chalk a debug, je dnes bohužel běžný scénář útoků na dodavatelský řetězec softwaru.“

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS