Не доверяй, а проверяй: как фишинг письмо поставило под угрозу цепочку поставок ПО

Кибербезопасность вновь оказалась в центре внимания из-за масштабного инцидента, затронувшего экосистему JavaScript. Атака началась с банального фишинга, но её последствия затронули тысячи разработчиков по всему миру, наглядно демонстрируя, насколько хрупкой может быть цепочка поставок программного обеспечения.

Как произошла атака

По данным экспертов, злоумышленникам не потребовалось взламывать сложные системы защиты. Достаточно было одного фишингового письма, отправленного сотруднику службы поддержки провайдера qix. После того как его учётная запись была скомпрометирована, преступники получили доступ к публикации пакетов в репозитории npm.

Они внесли изменения в 18 популярных JavaScript-библиотек, внедрив в них вредоносный код. Когда сотрудник qix обнаружил проблему и попытался удалить заражённые пакеты, он моментально потерял доступ к аккаунту — злоумышленники уже успели заблокировать его.

Цель вредоносного кода

Специалисты из компании Aikido Security провели анализ и выяснили, что атака не была нацелена на серверы или среды разработки. Её главной целью стали криптовалютные кошельки.

Вредоносный код был разработан для перехвата или подмены адресов криптокошельков, — пояснили представители Aikido Security.

Программа работала крайне изощрённо: интерфейс приложения показывал пользователю правильный адрес получателя, но в момент подписания транзакции данные подменялись. В результате цифровые активы уходили на кошельки, контролируемые злоумышленниками.

Какие пакеты оказались под ударом

Под удар попали фундаментальные библиотеки, которые используются в огромном количестве JavaScript-проектов по всему миру. В списке заражённых оказались:

• Chalk;
• Debug;
• Ansi-styles;
• is-arrayish;
• strip-ansi.

Эти пакеты являются строительными блоками для множества приложений, что означает потенциально огромный масштаб заражения. Вредоносные версии уже могли быть автоматически установлены и запущены в рабочих системах.

Что делать разработчикам

Эксперты по безопасности дали чёткие рекомендации для всех, кто мог использовать скомпрометированные библиотеки.

1. Немедленно откатиться к предыдущим, проверенным и безопасным версиям пакетов.
2. Тщательно проверять все последние обновления зависимостей в своих проектах.
3. Особенно внимательно отслеживать исходящие транзакции, если приложение работает с криптовалютами.

Этот инцидент лишний раз доказывает, что безопасность цепочки поставок — это критически важный элемент современной разработки, которому необходимо уделять постоянное внимание.