Pikšķerēšanas uzbrukumam, kas paredzēts noteiktam programmatūras uzturētāja kontam, ir izdevies apdraudēt programmatūras paketes, kurām ir vairāk nekā 2,6 miljardi iknedēļas lejupielādes. BLEEPINGPORTERS, atzīmējot, ka infekcija tiek saukts “Lielākais piegādes ķēdes uzbrukums vēsturē”.
Programmatūras pakešu izstrādātājs, kas identificēts kā Džošs Junons, tika apdraudēts, izmantojot pikšķerēšanas shēmu Mērķtiecība uz vairākiem blokķēdēm, ieskaitot Ethereum, Bitcoin, Solana un Tron, Reģistra ziņojumiApvidū Junon ir Bija izlikšana par kompromisu viņa blūza kontā. “Jā, es esmu bijis pwned. 2FA atiestatīt e -pastu, izskatījās ļoti likumīgi,” savā kontā rakstīja Junons. “Ietekmēja tikai NPM.”
“Atvainojiet visiem, man vajadzēja pievērst lielāku uzmanību,” viņš piebilda. “Nav kā es; man ir bijusi stresa nedēļa. Darbs, lai to sakoptu.”
Kompromisu sākotnēji atzīmēja Čārlijs Eriksens, a Drošības firmas Aikido pētnieksApvidū Pikšķerēšanas e -pasts tika nosūtīts un veidots, lai izskatās, ka tas būtu nākis no pašas NPM organizācijas. “Lai saglabātu sava konta drošību un integritāti, mēs laipni lūdzam šo atjauninājumu aizpildīt pēc iespējas ātrāk,” tā lasīja. “Lūdzu, ņemiet vērā, ka konti ar novecojušiem 2FA akreditācijas datiem uz laiku tiks bloķēti no 2025. gada 10. septembra, lai novērstu neatļautu piekļuvi.”
NPM ir daudzpusīgs atvērtā koda paketes pārvaldnieks, kuru var izvietot dažādos galos. NPM vietne Saka, ka uz to paļaujas apmēram 17 miljoni dažādu programmatūras projektu.
Šajā gadījumā 18 dažādas plaši izmantotas programmatūras paketes, kuras uztur Junons, tika nolaupīti un implantēti ar ļaunprātīgu kodu, atzīmē Eriksens.
Atvērtā koda programmatūra ir mūsdienu interneta galvenā infrastruktūras sastāvdaļa, taču tās unikālās drošības dilemmas dažkārt var izraisīt digitālās katastrofas. Patiešām, viena projekta korupcija var izraisīt sava veida tīmekļa inficāciju, kas ietekmē lietotņu un programmu pārrāvumus.
NPM jau iepriekš ir pārdzīvojis šāda veida lietas. Līdzīgs (kaut arī ne kā plaši izplatīts) gadījums notika 2022. gadā, kad divu ļoti populāro kodēšanas bibliotēku veidotājs tos nejauši sabojāja, izraisot neskaitāmas programmatūras programmu “ķieģeļus”. Šajā konkrētajā gadījumā tika uzskatīts, ka aptuveni 20 000 programmatūras projektu ir atkarīgi no tā, ka viens Radītājs ir atkarīgs no tā.
Sudraba odere ir tāda, ka, kaut arī tiek ziņots, ka jaunākā infekcija ir vēsturiski plaši izplatīta, izklausās, ka tā tika atcelta, pirms varēja nodarīt reālus postījumus. BleepingComputer norāda, ka NPM komanda ir izdzēsusi programmatūras pakešu ļaunprātīgas versijas, cenšoties samazināt ļaunprātīgas programmatūras izplatību. Gizmodo sazinājās ar NPM un Aikido, lai iegūtu vairāk informācijas, un atjauninās šo stāstu, kad saņemsim atbildi.
