Tüm bulut ortamlarının yaklaşık% 10’unu vuran büyük bir NPM tedarik zinciri saldırısı, uzlaşmayı tasarlayan bilgisayar korsanları için çok az şey verdi.
Bu, haftada 2 milyar kez indirilen ANSI tarzı, hata ayıklama ve tebeşir gibi popüler NPM paketlerini vuran uzlaşmaya bakan bir çift raporun sonucudur. Proje bakımı Josh Junon-aka “Qix”-Github’da “şok edici bir şekilde otantik görünen 2FA sıfırlama e-postası” tarafından kandırıldığını ve DuckDB ile ilgili paketlerin de ayrı bir saldırıda tehlikeye atıldığını söyledi.
Siber güvenlik gözlemcileri, paketlere bağlı kuruluşların, saldırganların sadece kriptaklama ile ilgilendikleri için şanslı olduklarını söyledi.
Güvenlik araştırmacısı Kevin Beaumont, “Bunun yerine ters mermiler yapıp yapmadıklarını veya fidye yazılımı dağıtımının notpetya tarzına otomatik yanal hareketi olup olmadığını hayal edin” dedi. “Buradaki şirketleri kurtaran şey, oyuncunun tehdit olmasıydı. [an] Beceriksiz kripto çocuk, başka bir şey yok. “
NPM saldırısı ‘kötü amaçlı kodun ne kadar hızlı yayılabileceğini’ gösteriyor
Açık Güvenlik İttifakı’na göre, “Qix” tarafından yayınlanan paketlere yönelik saldırılar sadece yaklaşık 20 $ netleşirken, Socket DuckDB ile ilgili paketlere yapılan saldırının yaklaşık 600 $ verdiğini belirledi. Socket’e göre her iki saldırı da “tam olarak aynı” cüzdan-drainer yükünü kullandı.
Socket, “Bu düşük toplamlar, kampanya son derece yıkıcı olsa da, finansal etkisinin şimdiye kadar sınırlı olduğunu gösteriyor” dedi.
Güvenlik İttifakı, “bu olayın tüm en büyük finansal etkisinin, dünyanın dört bir yanındaki mühendislik ve güvenlik ekipleri tarafından tehlikeye atılan ortamları temizlemek için çalışan toplu binlerce saat olacağını” söyledi.
Wiz, etkilenen paketlerin en az bir örneğinin bulut ortamlarının% 99’unda bulunduğunu ve kötü amaçlı kodun bulut ortamlarının en az% 10’una hızla yayıldığını bildirdi.
Wiz, “Bundan, kötü amaçlı sürümlerin NPM’de mevcut olduğu 2 saatlik kısa sürede, kötü amaçlı kodun 10 bulut ortamından 1’e başarıyla ulaştığı sonucuna varabiliriz” dedi. “Bu, kötü niyetli kodun bunun gibi tedarik zinciri saldırılarında ne kadar hızlı yayılabileceğini göstermeye hizmet ediyor.”
NPM tedarik zinciri saldırısı nasıl oldu
Junon, kimlik avı e -postasının NPMJS’de destekten geldiğini söyledi[.]Yardım, resmi NPMJS.com sitesini taklit eder. Diğer bakıcılar, iki faktörlü kimlik doğrulaması güncellenmemesi durumunda hesapları kilitlemekle tehdit eden aynı e-postayı aldığını bildirdi. Kimlik avı e -postaları şunları okur:
E-posta, “Hesap güvenliğine devam eden taahhüdümüzün bir parçası olarak, tüm kullanıcıların iki faktörlü kimlik doğrulama (2FA) kimlik bilgilerini güncellemelerini istiyoruz” dedi. “Kayıtlarımız, son 2FA güncellemenizden bu yana 12 aydan fazla olduğunu gösteriyor.
“Hesabınızın güvenliğini ve bütünlüğünü korumak için, bu güncellemeyi en kısa sürede tamamlamanızı rica ediyoruz. Uslu 2FA kimlik bilgilerine sahip hesapların, yetkisiz erişimi önlemek için 10 Eylül 2025’ten itibaren geçici olarak kilitleneceğini lütfen unutmayın.”
Uzaklaştırılmış paketler daha sonra “tarayıcıdaki kripto ve Web3 etkinliğini sessizce kesen, cüzdan etkileşimlerini manipüle eden ve ödeme hedeflerini yeniden yazacak şekilde, bir web sitesinin istemcisinde yürütülecek bir kod parçası içerecek şekilde güncellendi” dedi.
Büyük tedarik zinciri saldırısı, son aylarda tedarik zinciri saldırılarının iki katına çıktığı raporlarında geliyor, çünkü saldırganlar BT güvenlik açıklarından büyük ölçekte başarılı bir şekilde yararlanabiliyor. NPM saldırıları, kitlesel sömürü elde etmek için çok daha basit-ama iyi hazırlanmış-kimlik avı e-postası kullandı.