Novi npm supply-chain worm krade tokene i sam se širi kroz pakete
BleepingComputer piše o novom supply-chain napadu u npm ekosistemu koji krade developerske tokene i pokušava da se dalje širi kroz pakete objavljene sa kompromitovanih naloga. Istraživači iz Socket-a i StepSecurity-ja pronašli su zlonamerne verzije više paketa povezanih sa Namastex Labs, pri čemu malware traži npm i PyPI kredencijale, API ključeve, SSH ključeve, cloud i CI/CD tajne, kao i podatke iz browsera i crypto wallet dodataka. Ako na zaraženom sistemu pronađe publish tokene, ubacuje svoj payload u druge pakete kojima nalog može da objavljuje i tako nastavlja širenje.
Najopasniji deo ove priče je to što kompromitacija ne staje na jednom zlonamernom paketu, već pokušava da od napadnutog developera napravi novu tačku širenja. Kada napad uđe u build ili developersko okruženje, može da zahvati više paketa, više repozitorijuma i čak više ekosistema nego što se na početku vidi.
- Odmah ukloniti navedene kompromitovane verzije paketa iz razvojnih sistema i CI/CD okruženja
- Rotirati npm, PyPI, cloud, CI/CD i druge tokene i lozinke koji su mogli biti dostupni na pogođenim mašinama
- Pregledati ~/.npmrc, environment varijable, build logove i artefakte zbog mogućeg curenja tajni
- Proveriti da li su sa kompromitovanih naloga objavljene nove ili sumnjivo uvećane verzije internih i javnih paketa
- Uvesti strožu kontrolu publish tokena, potpisivanje paketa i nadzor nad postinstall skriptama