Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Правила форума

Раздел для общения на любые темы, для которых не нашлось места в остальных разделах. Если Вашу тему можно отнести по смыслу к другому разделу, лучше создайте её там, иначе Вас накажут.

В данном форуме немного понижены требования к Общим правилам форума, а именно:
1. Информативность темы
2. Отходить от первоначального смысла темы

!
В разделе запрещено создавать темы связанные с раскруткой игровых серверов

Еще один червяк (npm CI/CD)

, thehackernews.com - новости
Статус пользователя Gecko
сообщение 18.9.2025, 9:24
Сообщение #1
Стаж: 7 лет 5 месяцев

Сообщений: 1247
Благодарностей: 520
Полезность: 345

Перевод на русский: ChatGPT
Источник: https://thehackernews.com/2025/09/40-npm-pa...-in-supply.html

Червяк поразил более 180 npm-пакетов

Дата: 16 сентября 2025 года
Автор: Ravie Lakshmanan

Специалисты по кибербезопасности обнаружили новую атаку, затрагивающую npm-реестр, в которой пострадали более 40 пакетов, принадлежащих разным разработчикам.

Компрометированные версии включают функцию NpmModule.updatePackage, которая:

загружает tarball пакета,

изменяет файл package.json,

внедряет локальный скрипт (bundle.js),

запаковывает архив заново,

и перепубликовывает пакет,

что позволяет автоматически троянизировать зависимые (downstream) пакеты.

Цель кампании — искать на машинах разработчиков секреты с помощью TruffleHog (инструмент для сканирования на утечки) и передавать их на внешний сервер, контролируемый злоумышленниками.
Атака способна работать как на Windows, так и на Linux.

Затронутые пакеты

Вот некоторые из npm-пакетов, которые идентифицированы как скомпрометированные:
Цитата
angulartics2@14.1.2

@ctrl/deluge@7.2.2

@ctrl/golang-template@1.4.3

@ctrl/magnet-link@4.0.4

@ctrl/ngx-codemirror@7.0.2

@ctrl/ngx-csv@6.0.2

@ctrl/ngx-emoji-mart@9.2.2

@ctrl/ngx-rightclick@4.0.2

@ctrl/qbittorrent@9.7.2

@ctrl/react-adsense@2.0.2

@ctrl/shared-torrent@6.3.2

@ctrl/tinycolor@4.1.1, 4.1.2

@ctrl/torrent-file@4.1.2

@ctrl/transmission@7.3.1

@ctrl/ts-base32@4.0.2

encounter-playground@0.0.5

json-rules-engine-simplified@0.2.4, 0.2.1

koa2-swagger-ui@5.11.2, 5.11.1

@nativescript-community/gesturehandler@2.0.35

@nativescript-community/sentry@4.6.43

@nativescript-community/text@1.6.13

… и др.


Как работает вредоносный код

bundle.js (внедрённый вредоносный скрипт) скачивает и запускает TruffleHog, чтобы сканировать систему хоста на наличие токенов и облачных ключей, таких как GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY.

Затем скрипт проверяет npm-токены через endpoint whoami, взаимодействует с API GitHub, если токен доступен.

Также пытается обнаружить метаданные в облачных окружениях (cloud metadata), что может позволить украсть короткоживущие креденциалы в сборочных агентах (build agents).

Вредонос использует украденные учётные данные (например GitHub личный токен), чтобы создать workflow для GitHub Actions (в директории .github/workflows) и отправлять собранные данные на endpoint во внешнем сервере (webhook.site).

Этот workflow сохраняется в репозитории, так что любое будущее CI-запуск может снова задействовать утечку, когда в пайплайне есть доступ к секретам и артефактам.

Масштаб инцидента

Атака получила кодовое название Shai-Hulud.

Кроме упомянутых выше >40 пакетов, пострадало более 500 npm-пакетов в целом.

Среди них — пакеты, публиковавшиеся с аккаунта crowdstrike-publisher.

Анализ показал, что 34 GitHub-аккаунта были скомпрометированы, и в них был файл data.json, содержащий кодированный JSON с утекшими данными, загруженный злоумышленниками.

Найдено 278 секретов: 90 были получены с локальных систем, остальные — через вредоносные workflow.

Рекомендации

Проверить свои окружения: если у вас установлены или используются указанные скомпрометированные версии пакетов — моментально обновиться или удалить их.

Поменять (rotate) npm-токены и другие секреты, которые могли быть скомпрометированы.

Проверить CI/CD пайплайны, workflow в репозиториях на предмет нежелательных скриптов или изменений.

===============================

Используйте докер, и всё будет нормально.

Отредактировал: Gecko, - 18.9.2025, 10:07


Не отвечаю на ЛС.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя csnet
сообщение 18.9.2025, 20:46
Сообщение #2
Стаж: 12 лет

Сообщений: 4808
Благодарностей: 3849
Полезность: 690

почесал я "репу" ... проблема видимо касается разработки node.js в основном (ведь они живут только на Арракисе), думаю мало кто здесь на этом чтото пишет. Но за инфу спасибо.

Отредактировал: csnet, - 18.9.2025, 20:48


go v cs:go
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Gecko
сообщение 18.9.2025, 20:57
Сообщение #3
Стаж: 7 лет 5 месяцев

Сообщений: 1247
Благодарностей: 520
Полезность: 345

Цитата(csnet @ 18.9.2025, 20:46) *
почесал я "репу" ... проблема видимо касается разработки node.js в основном (ведь они живут только на Арракисе), думаю мало кто здесь на этом чтото пишет. Но за инфу спасибо.

Не только для js, но и для go, python. А тут и до composer-а не далеко.
TruffleHog
Цитата
TruffleHog — это сканер секретов с открытым исходным кодом, предназначенный для обнаружения, классификации, проверки и анализа учетных данных (таких как API-ключи, пароли от баз данных и закрытые ключи шифрования)


К стати, советую использовать эту программу net_guard (gnu/Linux) by Gecko
Она не защитить файл от бэкдора в библиотеке, но вы будите знать, что приложение которое не должно отправлять что-либо в сеть - это делает. А всё что работает с сетью должно работать в изолированной среде, flatpak, docker...
И тут не только проблема в репозиториях и опенсорсе, тут проблема глобальная, бывали случаи внедрения вредоносного кода на уровне дистрибутива gnu/linux, пример (в прошлом году) XZ Utils / liblzma.
Последняя версия программы составляет лог всего что выходит в сеть, если программа нужна не в контейнере, я делаю просто, добавляю адрес в loopback, к примеру длдя OBS или VSCode

Отредактировал: Gecko, - 19.9.2025, 8:53


Не отвечаю на ЛС.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
  Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: