پنج نسخه مخرب از بستههای پرکاربرد اکوسیستم AsyncAPI در مخزن npm شناسایی شدهاند که در جریان یک حمله زنجیره تأمین (Supply Chain Attack)، تروجانی پیشرفته با قابلیت سرقت اطلاعات را توزیع میکردند. بستههای آسیبدیده در مجموع بیش از ۲.۲ میلیون دانلود هفتگی داشتهاند.
مهاجمان با سوءاستفاده از یک نقص پیکربندی در خط لولههای GitHub Actions (سکوی CI/CD)، بدون نیاز به سرقت توکنهای مستقیم، کدهای مخرب خود را به پروژه تزریق کردند. این کدهای مبهم جاوااسکریپت پس از اجرا، بدافزار مرحله دوم را از شبکه همتابههمتای IPFS دریافت و در قالب فرآیندی مخفی اجرا میکردند.
بر اساس تحلیلهای امنیتی، این بدافزار ماژولار با هدف قرار دادن سیستمهای توسعهدهندگان، اقدام به استخراج کلیدهای احراز هویت، توکنهای محیطهای CI/CD، ابزارهای هوش مصنوعی و دادههای حساس مرورگرها میکرده است.
اگرچه نسخههای آلوده سریعاً از مخازن npm حذف شدند، اما توسعهدهندگانی که در پنجره آلودگی اقدام به دریافت بسته کردهاند باید فایلهای lock پروژه خود را بازسازی نموده و فرآیندهای مخفی سیستم را متوقف کنند.
این رخداد لزوم پیادهسازی مکانیزمهای سختگیرانه DevSecOps و ممیزی مداوم ابزارهای خودکارسازی انتشار نرمافزار را به اثبات میرساند.
افتاتچک میتواند با ممیزی امنیتی، هاردنینگ سرورها، تست نفوذ و استقرار فرآیندهای توسعه امن به کسبوکار شما کمک کند.
منبع این مقاله:BleepingComputer
این مقاله توسط تیم افتاچک ترجمه و خلاصهسازی شده است.