Популярные пакеты npm заражены вредоносным кодом: атака затронула до 10% облачных сред

Популярные пакеты npm оказались скомпрометированы в результате масштабной атаки на цепочку поставок кода, по сообщениям профильных СМИ. Злоумышленники разослали разработчикам фальшивые письма от «support@npmjs.help» с требованием обновить двухфакторную аутентификацию. Один из них, известный как qix, ввёл данные на поддельном сайте, после чего атакующие получили доступ к его учётной записи.

По данным Aikido Security, были подменены 18 популярных пакетов, включая chalk, debug, ansi-styles и другие, суммарно набирающих более 2,5 млрд загрузок в неделю. В индексные файлы добавлен код-перехватчик, который в браузере незаметно меняет данные криптоплатежей и обращения к web3-кошелькам. GitHub предупредил, что все системы, где ставились заражённые версии, следует считать полностью скомпрометированными и срочно менять ключи.

Компания Wiz оценила, что за два часа, пока вредоносные версии были доступны, они достигли не менее 10% облачных сред, так как могли быть автоматически включены в сборки фронтенда и разосланы через CDN. DuckDBLabs сообщила о попытке взлома своего аккаунта, но успела заблокировать доступ. JFrog и Wiz полагают, что кампания продолжается и призывают ежедневно обновлять блоклисты. Первичные индикаторы показывают минимальные финансовые потери, но эксперты советуют очищать кеши сборок и пересобирать приложения.