Siga ZDNet: Adicione -nos como uma fonte preferida no Google.
As principais toca de Zdnet
- Um e -mail de phishing estava no coração do ataque.
- A equipe do NPM removeu rapidamente as versões de backdoor.
- 18 pacotes atingidos, com 2b+ downloads toda semana.
Um novo ataque da cadeia de suprimentos digital tem como alvo os populares pacotes de NPM de código aberto com pelo menos dois bilhões de downloads por semana.
‘Eu estive pwned’
Em 8 de setembro, Josh Junon, um mantenedor de pacotes cuja conta estava no centro do ataque, revelado Que um sofisticado ataque de phishing foi o culpado, impactando os pacotes de NPM vinculados à sua conta.
Também conhecido como QixJunon disse: “Fui pwned. 2FA Reset Email, parecia muito legítimo”.
Também: Clicou em um link de phishing? 7 etapas para tomar imediatamente para proteger suas contas
Em um bluesky fioo desenvolvedor acrescentou que o email de phishing se originou de um domínio que se vence os NPMJs legítimos[.]com domínio com, e o único indicador de fraude foi o uso de “.Help” no “suporte[at]npmjs[dot]ajuda” phishing e-mail. O email em questão alegou ser um aviso de segurança, alertando os usuários de que, a menos que atualizem suas credenciais de autenticação de dois fatores (2FA), suas contas seriam bloqueadas temporariamente a partir de 10 de setembro.
Sobre Notícias de hackerJunon disse que entrou no site falso com um código TOTP enquanto estava no celular.
“O email foi um e-mail ‘2FA Update’, dizendo-me 12 meses desde que eu atualizei o 2FA. Isso deveria ter sido uma bandeira vermelha, mas eu já vi coisas igualmente idiotas vindas de sites bem-intencionados antes”, comentou Junon. “Como o NPM está historicamente em contato sobre novos aprimoramentos de segurança, isso não cheira particularmente inacreditável ao meu nariz. O e-mail foi para a caixa de entrada específica da NPM, que é outra maneira de verificá-los”.
Também: Eu cliquei em quatro golpes on -line sorrateiros de propósito – para mostrar como eles funcionam
Eles phisseram nome de usuário, senha (exclusivos do NPM) e um código TOTP. Eles até me deram um novo código TOTP para instalar (risos) e funcionou. Apareceu no Authy Fine. Quem fez isso se esforçou muito nele. ”
Atualizações maliciosas adicionadas aos pacotes NPM
Os pesquisadores de segurança da Aikido publicaram um Postagem do blog descrevendo o incidente, no qual atualizações maliciosas foram adicionadas aos pacotes da NPM e pressionadas na segunda -feira por volta das 13:16 UTC. No total, acredita-se que 18 pacotes de npm foram comprometidos no ataque, incluindo giz, depuração, estilos de ANSI, corda de cores e swimting simples. Somente esses pacotes representaram aproximadamente 1,1 bilhão de downloads na semana passada.
O Node Package Manager (NPM) é um gerenciador de pacotes do JavaScript’s Node.js, permitindo que o código seja baixado, instalado e compartilhado gratuitamente pela comunidade de desenvolvedores de código aberto.
Também: O que é Vising? O phishing de voz está surgindo – dicas de especialistas sobre como identificá -lo e impedi -lo
“Os pacotes foram atualizados para conter um código que seria executado no cliente de um site, que intercepta silenciosamente a atividade de criptografia e Web3 no navegador, manipula as interações da carteira e reescreve destinos de pagamento, para que os fundos e aprovações sejam redirecionados para o invasor de contos, sem sinais óbvios para os usuários.
Segundo a equipe, o arquivo index.js nesses pacotes foi modificado com código malicioso, ofuscado para ocultar um interceptador baseado no navegador. Além disso, a QUEM É Pesquisa do domínio de phishing, npmjs[.]Ajuda, mostra que foi registrado apenas na semana passada.
Quando Aikido procurou Junon para torná -lo ciente do incidente de segurança, ele começou a limpar os pacotes antes que o acesso à sua conta fosse revogado, embora tenha sido restaurado desde então. A equipe da NPM disse em uma atualização Todos os pacotes impactados foram revogados.
Outros mantenedores foram afetados
Em uma nota de rodapé para sua postagem no blog, a Aikido Security disse que outro mantenedor foi direcionado, o que poderia indicar que ainda estamos para ver o final desta campanha de ataque da cadeia de suprimentos digital – uma perspectiva compartilhada por Junon, que disse que outros mantenedores também foram impactados, mas nenhuma informação adicional foi divulgada neste momento.
Também: Tem um texto suspeito de reembolso da Amazon? Não clique no link – é uma farsa
“Outros mantenedores foram afetados”, diz Junon. “Fique vigilante.”
