Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Nx в опасности: украдены токены

2 мин
Изображение: recraft Экосистема NPM столкнулась с масштабной атакой на цепочку поставок: объектом атаки стал проект Nx, ежемесячно загружаемый более 24 млн раз. По данным исследователей из компании Wiz, во вторник вечером в репозиторий были загружены несколько вредоносных версий пакетов, содержащих код для кражи секретов разработчиков — GitHub- и NPM-токенов, SSH-ключей, а также данных криптовалютных кошельков. Команда Nx в опубликованном на GitHub руководстве подтвердила, что успешная компрометация могла приводить к автоматической публикации украденных учётных данных в виде новых публичных репозиториев от имени пострадавших пользователей. С учётом популярности экосистемы последствия потенциально затронули огромное количество разработчиков. Сооснователь StepSecurity Ашиш Курми в комментарии отметил, что инцидент наглядно демонстрирует растущую сложность атак на цепочку поставок, особенно в условиях активного применения ИИ-инструментов. По его словам, пользователям, установившим вредоно

Изображение: recraft

Экосистема NPM столкнулась с масштабной атакой на цепочку поставок: объектом атаки стал проект Nx, ежемесячно загружаемый более 24 млн раз. По данным исследователей из компании Wiz, во вторник вечером в репозиторий были загружены несколько вредоносных версий пакетов, содержащих код для кражи секретов разработчиков — GitHub- и NPM-токенов, SSH-ключей, а также данных криптовалютных кошельков.

Команда Nx в опубликованном на GitHub руководстве подтвердила, что успешная компрометация могла приводить к автоматической публикации украденных учётных данных в виде новых публичных репозиториев от имени пострадавших пользователей. С учётом популярности экосистемы последствия потенциально затронули огромное количество разработчиков.

Сооснователь StepSecurity Ашиш Курми в комментарии отметил, что инцидент наглядно демонстрирует растущую сложность атак на цепочку поставок, особенно в условиях активного применения ИИ-инструментов. По его словам, пользователям, установившим вредоносные версии, необходимо срочно предпринять меры.

Специалисты Wiz уточнили, что репозитории с украденными данными оставались открытыми для скачивания около восьми часов, пока GitHub не ограничил доступ. По предварительной информации, злоумышленники получили доступ к токену с правами публикации. При этом у сопровождающих проекта была включена двухфакторная аутентификация, но она не требовалась для загрузки новых пакетов, что позволило обойти защитные механизмы.

Nx заявила, что её платформой пользуются более 70% компаний из списка Fortune 500, однако точное число пострадавших пользователей не раскрывается. В Wiz сообщили изданию The Register, что среди утекших данных оказалось более 1000 действующих GitHub-токенов, около 20 тыс. файлов, десятки учётных данных для облачных сервисов и NPM-токенов.

Согласно временной шкале, вредоносные пакеты начали загружаться 26 августа в 22:32 UTC и продолжали появляться более двух часов. В 02:58 UTC платформа NPM получила уведомление о проблеме и менее чем через час удалила все заражённые версии.

Оригинал публикации на сайте CISOCLUB: "Хакеры атаковали разработчика Nx и заразили NPM-экосистему вредоносными пакетами".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.