Еще один червяк (npm CI/CD), thehackernews.com - новости |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
| ! | В разделе запрещено создавать темы связанные с раскруткой игровых серверов |
|
|
Еще один червяк (npm CI/CD), thehackernews.com - новости |
Gecko
|
18.9.2025, 9:24
Сообщение
|
|
|
Перевод на русский: ChatGPT
Источник: https://thehackernews.com/2025/09/40-npm-pa...-in-supply.html Червяк поразил более 180 npm-пакетов Дата: 16 сентября 2025 года Автор: Ravie Lakshmanan Специалисты по кибербезопасности обнаружили новую атаку, затрагивающую npm-реестр, в которой пострадали более 40 пакетов, принадлежащих разным разработчикам. Компрометированные версии включают функцию NpmModule.updatePackage, которая: загружает tarball пакета, изменяет файл package.json, внедряет локальный скрипт (bundle.js), запаковывает архив заново, и перепубликовывает пакет, что позволяет автоматически троянизировать зависимые (downstream) пакеты. Цель кампании — искать на машинах разработчиков секреты с помощью TruffleHog (инструмент для сканирования на утечки) и передавать их на внешний сервер, контролируемый злоумышленниками. Атака способна работать как на Windows, так и на Linux. Затронутые пакеты Вот некоторые из npm-пакетов, которые идентифицированы как скомпрометированные: Цитата angulartics2@14.1.2 @ctrl/deluge@7.2.2 @ctrl/golang-template@1.4.3 @ctrl/magnet-link@4.0.4 @ctrl/ngx-codemirror@7.0.2 @ctrl/ngx-csv@6.0.2 @ctrl/ngx-emoji-mart@9.2.2 @ctrl/ngx-rightclick@4.0.2 @ctrl/qbittorrent@9.7.2 @ctrl/react-adsense@2.0.2 @ctrl/shared-torrent@6.3.2 @ctrl/tinycolor@4.1.1, 4.1.2 @ctrl/torrent-file@4.1.2 @ctrl/transmission@7.3.1 @ctrl/ts-base32@4.0.2 encounter-playground@0.0.5 json-rules-engine-simplified@0.2.4, 0.2.1 koa2-swagger-ui@5.11.2, 5.11.1 @nativescript-community/gesturehandler@2.0.35 @nativescript-community/sentry@4.6.43 @nativescript-community/text@1.6.13 … и др. Как работает вредоносный код bundle.js (внедрённый вредоносный скрипт) скачивает и запускает TruffleHog, чтобы сканировать систему хоста на наличие токенов и облачных ключей, таких как GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY. Затем скрипт проверяет npm-токены через endpoint whoami, взаимодействует с API GitHub, если токен доступен. Также пытается обнаружить метаданные в облачных окружениях (cloud metadata), что может позволить украсть короткоживущие креденциалы в сборочных агентах (build agents). Вредонос использует украденные учётные данные (например GitHub личный токен), чтобы создать workflow для GitHub Actions (в директории .github/workflows) и отправлять собранные данные на endpoint во внешнем сервере (webhook.site). Этот workflow сохраняется в репозитории, так что любое будущее CI-запуск может снова задействовать утечку, когда в пайплайне есть доступ к секретам и артефактам. Масштаб инцидента Атака получила кодовое название Shai-Hulud. Кроме упомянутых выше >40 пакетов, пострадало более 500 npm-пакетов в целом. Среди них — пакеты, публиковавшиеся с аккаунта crowdstrike-publisher. Анализ показал, что 34 GitHub-аккаунта были скомпрометированы, и в них был файл data.json, содержащий кодированный JSON с утекшими данными, загруженный злоумышленниками. Найдено 278 секретов: 90 были получены с локальных систем, остальные — через вредоносные workflow. Рекомендации Проверить свои окружения: если у вас установлены или используются указанные скомпрометированные версии пакетов — моментально обновиться или удалить их. Поменять (rotate) npm-токены и другие секреты, которые могли быть скомпрометированы. Проверить CI/CD пайплайны, workflow в репозиториях на предмет нежелательных скриптов или изменений. =============================== Используйте докер, и всё будет нормально.
Отредактировал: Gecko, - 18.9.2025, 10:07
![]() Не отвечаю на ЛС.
|
|
|
|
Gecko
|
18.9.2025, 20:57
Сообщение
|
|
|
почесал я "репу" ... проблема видимо касается разработки node.js в основном (ведь они живут только на Арракисе), думаю мало кто здесь на этом чтото пишет. Но за инфу спасибо. Не только для js, но и для go, python. А тут и до composer-а не далеко. TruffleHog Цитата TruffleHog — это сканер секретов с открытым исходным кодом, предназначенный для обнаружения, классификации, проверки и анализа учетных данных (таких как API-ключи, пароли от баз данных и закрытые ключи шифрования) К стати, советую использовать эту программу net_guard (gnu/Linux) by Gecko Она не защитить файл от бэкдора в библиотеке, но вы будите знать, что приложение которое не должно отправлять что-либо в сеть - это делает. А всё что работает с сетью должно работать в изолированной среде, flatpak, docker... И тут не только проблема в репозиториях и опенсорсе, тут проблема глобальная, бывали случаи внедрения вредоносного кода на уровне дистрибутива gnu/linux, пример (в прошлом году) XZ Utils / liblzma. Последняя версия программы составляет лог всего что выходит в сеть, если программа нужна не в контейнере, я делаю просто, добавляю адрес в loopback, к примеру длдя OBS или VSCode
Отредактировал: Gecko, - 19.9.2025, 8:53
![]() Не отвечаю на ЛС.
|
|
|
|
![]() ![]() |