- 27,650
- 46
- 8 Ноя 2022
Чтобы не потерять активы, действовать необходимо без промедлений.
Обычное обновление зависимости снова стало входной точкой для атаки на разработчиков: злоумышленник заразил вредоносным кодом 141 npm-пакет Mastra после взлома учётной записи одного из участников проекта. Mastra — набор инструментов для разработки ИИ-приложений и агентных систем, который распространяется через npm и подключается к проектам как обычная программная зависимость.
Атака произошла 17 июня. По данным компании Socket, взлом начался с компрометации npm-аккаунта участника Mastra под именем ehindero. Через доверенную учётную запись злоумышленник не стал менять основной код проекта, а подменил один из программных компонентов на управляемую им «призрачную зависимость».
Поддельный пакет сначала выглядел как легитимный и работал нормально, поэтому обновление могло не вызвать подозрений у разработчиков. Позднее в компонент добавили вредоносный код, который автоматически запускался при установке заражённых версий. Пользователи, загрузившие такие пакеты, могли незаметно установить стилер на свои компьютеры.
Вредоносная программа искала данные криптовалютных кошельков, расширения браузеров и файлы с учётными данными. По оценке специалистов, кампания была нацелена прежде всего на кражу цифровых активов, а не на вывод систем из строя.
Опасность усиливало доверие к легитимному аккаунту. Разработчики могли воспринять обновление как обычное изменение в цепочке поставки и не проверять его вручную, что помогало заражённым пакетам быстрее распространяться через npm.
Socket рекомендовала удалить затронутые версии, очистить node_modules и вернуться на более ранние сборки. Владельцам крупных криптовалютных кошельков посоветовали перевести средства на новый кошелёк. StepSecurity и JFrog также подготовили индикаторы компрометации , а Microsoft рекомендовала срочно откатиться на старые версии пакетов и использовать lockfile-файлы для жёсткой фиксации зависимостей.
Обычное обновление зависимости снова стало входной точкой для атаки на разработчиков: злоумышленник заразил вредоносным кодом 141 npm-пакет Mastra после взлома учётной записи одного из участников проекта. Mastra — набор инструментов для разработки ИИ-приложений и агентных систем, который распространяется через npm и подключается к проектам как обычная программная зависимость.
Атака произошла 17 июня. По данным компании Socket, взлом начался с компрометации npm-аккаунта участника Mastra под именем ehindero. Через доверенную учётную запись злоумышленник не стал менять основной код проекта, а подменил один из программных компонентов на управляемую им «призрачную зависимость».
Поддельный пакет сначала выглядел как легитимный и работал нормально, поэтому обновление могло не вызвать подозрений у разработчиков. Позднее в компонент добавили вредоносный код, который автоматически запускался при установке заражённых версий. Пользователи, загрузившие такие пакеты, могли незаметно установить стилер на свои компьютеры.
Вредоносная программа искала данные криптовалютных кошельков, расширения браузеров и файлы с учётными данными. По оценке специалистов, кампания была нацелена прежде всего на кражу цифровых активов, а не на вывод систем из строя.
Опасность усиливало доверие к легитимному аккаунту. Разработчики могли воспринять обновление как обычное изменение в цепочке поставки и не проверять его вручную, что помогало заражённым пакетам быстрее распространяться через npm.
Socket рекомендовала удалить затронутые версии, очистить node_modules и вернуться на более ранние сборки. Владельцам крупных криптовалютных кошельков посоветовали перевести средства на новый кошелёк. StepSecurity и JFrog также подготовили индикаторы компрометации , а Microsoft рекомендовала срочно откатиться на старые версии пакетов и использовать lockfile-файлы для жёсткой фиксации зависимостей.
- Источник новости
- www.securitylab.ru
