E -pasta ziņojums Junons, kas kritās, nāca no e -pasta adreses vietnē Atpūt.npmjs.help, domēns, kas izveidots pirms trim dienām, lai atdarinātu oficiālo npmjs.com, ko izmantoja NPM. Tajā teikts, ka Junona konts tiks slēgts, ja vien viņš atjauninātu informāciju, kas saistīta ar viņa 2FA, kas lietotājiem pieprasa uzrādīt fiziskās drošības atslēgu vai piegādāt vienreizēju piekļuves kodu, ko nodrošina autentifikatora lietotne, papildus parolei, pieteicoties.
Saskaņā ar analīze Sākot no drošības firmas Akido, ļaunprātīgais kods sevi ievada inficēto sistēmu tīmekļa pārlūkprogrammā un sāk uzraudzīt pārskaitījumus, kas saistīti ar Ethereum, Bitcoin, Solana, Tron, Litecoin un Bitcoin naudas valūtām. Kad šādi darījumi tiek atklāti, inficētās paketes pēc tam aizstātu mērķa makus ar uzbrucēju kontrolētām adresēm. Ļaunprātīga programmatūra strādāja, pievienojot JavaScript funkcijas, ieskaitot Fetch, XmlHttPrequest un Wallet API. Hooking dod koda kontroli pār funkcijām, lai noteiktos izpildes punktos tās varētu apturēt vai mainīt.
Vārds par uzbrukumu NPM krātuvēm nāca, jo divi citi piegādes ķēdes uzbrukumi mērķēja uz citām krātuvēm, kas ir ietekmīgas atvērtā koda programmatūras ekosistēmā. Viens, Atklāts piektdiena Autors: Drošības firma Gitguardians, kompromitēja 3 325 autentifikācijas noslēpumus kontiem PYPI, NPM, DockerHub, Github, CloudFlare un Amazon Web servcies. Kopumā tika ietekmēti 327 github lietotāji 817 krātuvēs.
Uzbrukumā kompromitētie uzturētāja konti virzīja pakotnes atjauninājumus, kas pievienoja ļaunprātīgas github darbības darbplūsmas, kas ieguva žetonus un cita veida autentifikācijas noslēpumus. Sākot ar piektdienu, sacīja Gitguardians, deviņi NPM un 15 Pypi paketes bija kompromisa risks.
Atsevišķs piegādes ķēdes uzbrukums pagājušajā mēnesī skāra arī GitHub lietotājus, apsardzes firmu Wiz ziņots Pagājušajā nedēļā. Tas mērķēja uz NX, atvērtā pirmkoda būvēšanas sistēmu un repozitorija pārvaldības rīku, ko izmanto uzņēmuma iestatījumos. Sākotnējais kompromiss sākās pēc derīgas autentifikācijas marķiera iegūšanas NPM kontam.
Ļaunprātīgais kods ieguva GitHub un NPM marķierus, kas saglabāti kompromitētās sistēmās. Tas arī izmanto AI komandrindas saskarnes, lai identificētu papildu failus, kas varētu būt noderīgi, lai piekļūtu interesējošajām krātuvēm. Otrajā uzbrukuma posmā tika izmantoti kompromitētie GitHub marķieri, lai pakļautu privātas krātuves, padarot tos publiskus upuru github profilos. Piespiestie akreditācijas dati tika augšupielādēti GitHub krātuvēs, kurās bija nosaukums S1ngularity-Repository, kas veido pamatu nosaukumam S1ngularity, ko Wiz ir devis incidentam.
