8 Eylül 2025’te, yaklaşık 09:00 EST’de NPM ekosistemi akut tedarik zinciri saldırısıyla karşılaştı.
Bir tehdit oyuncusu, tanınmış NPM geliştiricisi QIX’in hesabını tehlikeye atmak için sosyal mühendislik tekniklerinden yararlandı ve daha sonra yaygın olarak kullanılan birkaç paket için kötü niyetli sürümler yayınladı. debug– chalkve düzinelerce ilgili bağımlılık.
İlk uzlaşmadan sonraki iki saat içinde, koruyucular ihlalleri tanımladı ve kabul etti ve lekeli paket sürümlerinin kaldırılmasını başlattı – topluluk ve NPM personeli tarafından hızlı bir şekilde tamamlanan bir süreç.
Hızlı tepkiye rağmen, kötü niyetli paketler sabah 9’dan 11’e kadar EST’ye indirilebilir ve enfeksiyon için kısa ama tehlikeli bir pencere bırakarak kaldı.
Saldırının enfeksiyon vektörü, geliştiricilere veya otomatik yapı sistemlerine (CI/CD) menteşeli, zehirli paket versiyonlarını çözerek, daha sonra ön uç JavaScript varlıklarına paketlenecekti.
Dağıtım yapıldıktan sonra, lekeli varlığı çalıştıran bir siteye erişen herhangi bir tarayıcı, bilmeden, anahtar web ve cüzdan API’lerini engellemek için tasarlanmış kodu yürütür, örneğin fetch– XMLHttpRequest– window.ethereum.requestve Solana İmzalama Yöntemleri.
Kötü niyetli yük, ağ işlemlerini tarar, kripto para birimi ödemeleri veya onaylarını arar (ETH, BTC, SOL, TRX, LTC, BCH).
Bir fırsat ortaya çıktığında, kod, alıcı veya gahçe adreslerini sessizce yeniden yazacak, fonları veya onayları saldırgan kontrollü cüzdanlara etkili bir şekilde yönlendirecek-hepsi de bir kullanıcı işlemi gerçekten yetkilendirmeden önce.
Özellikle, sıradan incelemeden kolayca kaçabilen aldatıcı bir katman eklenerek benzeyen adres ikameleri dahil edildi.
Önemli olarak, uzlaşma yalnızca son kullanıcılara teslim edilen müşteri tarafı varlıklarını etkiledi; Hedeflenen paketleri yalnızca sunucu tarafı (yalnızca düğüm) dağıtımlarında kullanan uygulamalar çok daha düşük risk altındaydı.
Rapor edilen paketlerin ilk listesini analiz etmemiz, bulut ortamları arasındaki yaygınlıklarının ötesinde olduğunu göstermektedir.
En savunmasız hedefler, merkezi olmayan uygulamalar (DAPP’ler), bağış widget’ları, Web3 bileşenleri ve etkilenen JavaScript bağımlılıklarını entegre ederek kripto para birimi işlemlerini kolaylaştıran herhangi bir sistemi içeriyordu.
Kapsam: yayılma ve muhafaza
JFrog’un güvenlik ekibi 9 Eylül’de kampanyanın hala geliştiğini ve kapsam DuckDB gibi ek ekosistemlere genişlediğini bildirdi.
Kuruluşlara, etkilenen paketlerin listesini ele almaları tavsiye edilir – chalk-template– supports-hyperlinks– color-string– wrap-ansi– duckdbve diğerleri – yerel kayıtlara karşı güvenilir bir şekilde doğrulama ve güncellenmiş blok listelerinin korunması.
Veriler, saldırıdan önce, bulut ortamlarının% 99’unun en az bir savunmasız paket barındırdığını gösterir ( debug en yaygın olanı).
Kötü amaçlı kod yayılımı hemen oldu: Öğlen EST’ye göre, ankete katılan bulut ortamlarının en az% 10’u yapı varlıklarında lekeli paketleri içeriyordu ve kötü amaçlı güncellemelerin tedarik zincirini ne kadar hızlı kirletebileceğini gösterdi.
Kuruluşlar için, önerilen eylemler arasında kilit dosyaları arama ( package-lock.json– pnpm-lock.yamlVe yarn.lock) enfekte olmuş sürümler için, gizlenmiş kod imzaları için JavaScript demetlerinin taranması ve işlem yönlendirmeleri veya anomaliler için kullanıcı raporlarını ve zincirli etkinliği analiz etmek.
İyileştirme, tüm önbelleklerin zorla temizlenmesini, CDN varlıklarının geçersiz kılınmasını, devrilme widget’ları gibi kritik modüllerin geçici olarak devre dışı bırakılmasını ve cüzdan akışları için güvenlik geçersiz kılmalarının uygulanmasını içerir. Etkilenen yeni paketler ortaya çıkmaya devam ettikçe sürekli blok listesi güncellemeleri çok önemlidir.
Minimal finansal kazanç
Her ne kadar tehlikeye atılan paketlerin yaygınlığı yüksek olmasına rağmen, başarıyla yönlendirilen kripto para biriminde ölçülen somut finansal etki şimdiye kadar minimal olmuştur.
Endüstri değerlendirmeleri, bu kampanyayı, orkestratörü için önemli kâr elde etmek yerine, saatlerce acil hafifletme ve gecikmeyi zorlayan bir hizmet reddi saldırısına daha fazla benziyor.
Daha geniş sonuç, JavaScript ve Web geliştirme topluluğu için akut bir uyandırma çağrısıdır ve tedarik zinciri güveninin kırılganlığını ve uyanık denetim uygulamaları ve otomatik kötü amaçlı yazılım algılaması gerekliliğini vurgulamaktadır.
Wiz ve diğer güvenlik platformları güncellenmiş algılama imzaları ve tavsiyeleri sunmaktadır. Güvenlik uygulayıcılarının en son rehberlik için tehdit merkezlerine danışmaları ve durumun geliştikçe tüm iyileştirme adımlarının ve blok listelerinin güncel kalmasını sağlamaları istenir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.