Um ataque de phishing destinado à conta de um mantenedor de software específico conseguiu comprometer pacotes de software com mais de 2,6 bilhões de downloads semanais. Computador de biping, observando que a infecção está sendo chamado O “maior ataque da cadeia de suprimentos da história”.
O desenvolvedor por trás dos pacotes de software, identificado como Josh Junon, foi comprometido por meio de um esquema de phishing Visando várias blockchains, incluindo Ethereum, Bitcoin, Solana e Tron, O registro relata. Junon tem tenho postado sobre o compromisso em sua conta de bluesky. “Sim, fui dado. “Apenas o NPM afetou.”
“Desculpe a todos, eu deveria ter prestado mais atenção”, acrescentou. “Não é como eu; tive uma semana estressante. Trabalhará para limpar isso.”
O compromisso foi originalmente observado por Charlie Eriksen, um Pesquisador para a empresa de segurança Aikido. O e -mail de phishing foi enviado e estilizado para parecer que havia vindo da própria organização da NPM. “Para manter a segurança e a integridade da sua conta, pedimos gentilmente que você conclua esta atualização o mais rápido possível”, dizia. “Observe que as contas com credenciais 2FA desatualizadas serão bloqueadas temporariamente a partir de 10 de setembro de 2025, para impedir o acesso não autorizado.”
O NPM é um gerenciador de pacotes de código aberto versátil que pode ser implantado em uma variedade de extremidades diferentes. Site da NPM Diz que se baseia em cerca de 17 milhões de projetos de software diferentes.
Nesse caso, 18 pacotes de software amplamente utilizados por Junon foram seqüestrados e implantados com código malicioso, observa Eriksen.
O software de código aberto é um componente de infraestrutura essencial da Internet moderna, mas seus dilemas exclusivos de segurança podem, ocasionalmente, levar a desastres digitais. De fato, a corrupção de um único projeto pode levar a um tipo de contágio na web que afeta o número de aplicativos e programas.
O NPM já passou por esse tipo de coisa antes. Um caso semelhante (embora não tão difundido) ocorreu em 2022, quando o criador por trás de duas bibliotecas de codificação muito populares as corrompeu aleatoriamente, levando ao “alívio” de inúmeros programas de software. Nesse caso em particular, disseram -se que cerca de 20.000 projetos de software dependiam desse criador.
O revestimento de prata é que, embora a infecção mais recente seja relatada historicamente difundida, parece que foi anulada antes que qualquer dano real pudesse ser causado. O BleepingComputer observa que a equipe do NPM está excluindo as versões maliciosas dos pacotes de software em um esforço para reduzir a propagação do malware. Gizmodo procurou o NPM e o Aikido para obter mais informações e atualizará essa história quando recebermos uma resposta.
