Npm (Node Package Manager)
Npm (Node Package Manager) в новостной повестке, календарь упоминаний и aналитика в реальном времени.
Календарь упоминаний:
Масштабная компрометация инфраструктуры через цепочку поставок
Компрометация пакета в Node Package Manager запускает вредоносный код, извлекающий данные окружения и токены аутентификации с рабочей станции разработчика. Укрывшийся токен доступа к GitHub открывает путь к репозиториям исходного кода и позволяет использовать доверенные интеграции для получения временных учетных данных в облачной платформе. Чрезмерно широкие права доступа обеспечивают злоумышленникам возможность развертывать новую инфраструктуру, создавать административные привилегии и наносить ущерб производственным системам.
Риск в цепочке поставок через npm
Npm используется как платформа для распространения пакетов, включая интеграции с внешними инструментами. Злоумышленники могут создавать поддельные пакеты npm, имитирующие легитимные интеграции, такие как подключение к электронной почте, и использовать их для скрытого копирования данных. Такие пакеты становятся точкой входа для утечек информации из закрытых систем. Это делает npm важным элементом атак на уровне цепочки поставок ИИ.
Утечка данных через уязвимость в NPM
NPM позволяет пакетам динамически загружать зависимости из непроверенных источников, что злоумышленники используют для распространения вредоносного кода. Более 100 подозрительных пакетов, загруженных группой PhantomRaven, были скачаны более 86 000 раз, при этом их зависимости остаются скрытыми от большинства инструментов анализа. Эти зависимости сканируют системы на наличие конфиденциальной информации, включая учетные данные и параметры CI/CD. Из-за автоматической загрузки и отсутствия версионирования злоумышленники могут отправлять разные нагрузки в зависимости от сетевой среды.
Широкомасштабное заражение пакетов npm вредоносным кодом
В репозитории npm хакеры внедрили вредоносный код в более чем два десятка популярных пакетов, включая ключевые компоненты экосистемы JavaScript. Обновлённые пакеты отслеживали криптовалютные транзакции и заменяли адреса кошельков на адреса злоумышленников. Атака затронула пакеты, используемые десятками других проектов, что позволило вредоносному коду распространиться на масштабах более двух миллиардов обновлений в неделю.
Npm (Node Package Manager) имеет 4 записи событий в нашей базе. Объединили похожие карточки: Npm (Node Package Manager); Node Package Manager; Npm и другие.