Un incident major de securitate a zguduit comunitatea de dezvoltatori după ce un hacker a reușit să infecteze peste 18 pachete npm populare, descărcate împreună de aproximativ 2 miliarde de ori pe săptămână. Atacul a fost posibil printr-o campanie de phishing ce l-a vizat pe Josh Junon, dezvoltatorul responsabil de întreținerea acestor module.
Cum s-a produs compromiterea
Hackerul a trimis un e-mail de phishing, care părea să provină de la domeniul oficial npmjs.com, dar era de fapt generat de adresa falsă npmjs[.]help. Mesajul îi cerea utilizatorului să își actualizeze autentificarea în doi pași. După ce Junon a accesat linkul, atacatorii i-au obținut accesul la cont și au injectat un cod malițios în mai multe module.
Ce face malware-ul
Conform companiei Socket, codul malițios viza furtul de criptomonede prin manipularea tranzacțiilor efectuate în browser. Orice adresă de portofel introdusă de utilizatori era înlocuită cu cea a atacatorului, redirecționând astfel fondurile.
Impactul real
Deși Aikido Security a descris evenimentul ca fiind „cel mai mare compromis al lanțului de aprovizionare din istoria npm”, efectele asupra utilizatorilor par a fi limitate. Potrivit Semgrep, versiunile infectate au fost disponibile doar pentru o perioadă foarte scurtă și nu au înregistrat descărcări semnificative. În plus, pentru ca un proiect să fie efectiv compromis, trebuiau îndeplinite simultan trei condiții tehnice, ceea ce reduce…
