NPM ekosistemi tarihindeki en büyük tedarik zinciri uzlaşması tüm bulut ortamlarının yaklaşık% 10’unu etkiledi, ancak saldırgan çok az kar elde etti.
Saldırı, koruyucu Josh Junon (QIX) bir şifre sıfırlama kimlik avı cazibesi için düştükten ve aralarında çok sayıda popüler NPM paketinden ödün verdikten sonra bu haftanın başlarında gerçekleşti. tebeşir Ve degub-js, Bu kümülatif olarak haftada 2,6 milyardan fazla indirme var.
Junon’un hesabına eriştikten sonra, saldırganlar, işlemleri tehdit oyuncusuna yönlendirerek kripto para birimini çalan kötü amaçlı bir modülle kötü amaçlı güncellemeleri zorladılar.
Açık kaynaklı yazılım topluluğu saldırıyı hızla keşfetti ve tüm kötü amaçlı paketler iki saat içinde kaldırıldı.
Bulut güvenlik şirketi Wiz’deki araştırmacılara göre, neredeyse tüm JavaScript/düğüm projesi için temel yapı taşları olan tehlikeye atılan paketlerden biri veya daha fazlası bulut ortamlarının% 99’unda kullanıldı.
İndirilebilecekleri iki saatlik pencere sırasında, tehlikeye atılan paketler bulut ortamlarının yaklaşık% 10’u tarafından çekildi.
Wiz, “Kötü amaçlı sürümlerin NPM’de mevcut olduğu kısa 2 saatlik zaman dilimi sırasında, kötü amaçlı kod 10 bulut ortamından 1’e başarıyla ulaştı” dedi.
“Bu, kötü niyetli kodun bunun gibi tedarik zinciri saldırılarında ne kadar hızlı yayılabileceğini göstermeye hizmet ediyor.”
% 10 rakamı, Wiz’in müşteri bulut ortamlarına ve kamu kaynaklarına görünürlüğüne dayanmaktadır. Temsili bir yüzde olmasa da, hala saldırının hızlı yayılmasının ve erişiminin göstergesidir.
Saldırganlar 1.000 dolardan daha az yaptı
Saldırı kayda değer bir bozulmaya neden olsa da, şirketlere temizlik, yeniden inşa ve denetim için önemli sayıda saat gerektirse de, tıpkı tehdit aktörünün kârı gibi güvenlik sonuçları ihmal edilebilir.
Güvenlik İttifakı tarafından yapılan bir analize göre, enjekte edilen kod tarayıcı ortamlarını hedefledi, Ethereum ve Solana imzalama isteklerini kancalayarak, kripto para cüzdanı adreslerini saldırgan kontrollü olanlarla (kripto jacking) değiştirdi.
Tehdit oyuncusu, bitki ters kabuklarına erişimlerini, ağda yanal olarak hareket ettirebileceği veya bitki yıkıcı kötü amaçlı yazılımları kullanabileceğinden, tehlikeye atılan cihazları çok daha ciddi bir güvenlik olayından çeken şirketleri kurtaran şirketlerdir.
Saldırının büyük ölçeğine ve çok sayıda kurban olmasına rağmen, saldırganlar sadece beş sent ETH ve 20 $ değerinde neredeyse bilinmeyen bir memekayı yönlendirebildiler.
Soket araştırmacıları dün bir rapor yayınladı ve aynı kimlik avı kampanyasının da DuckDB’nin bakım hesabını etkilediğini ve projenin paketlerini aynı kripto-onaylama koduyla tehlikeye attığını söyledi.
Onlara göre, saldırganların cüzdanlarına kadar izlenen karlar Ethereum’da yaklaşık 429 dolar, Solana’da 46 dolar ve BTC, Tron, BCH ve LTC’de toplam 600 $ ‘dır.
Ayrıca, saldırganın herhangi bir önemli miktarda tutulan cüzdan adreslerinin işaretlendiği ve yaptıkları küçük parayı dönüştürme veya kullanma yeteneklerini sınırladığı da belirtilmektedir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.