Napadaci infiltrirali npm paket Jscrambler-a sa štetnim softverom za krađe podataka
Napadači su objavljali zlonamernu verziju Jscrambler npm paketa sa malverom za krađe podataka koji je preuzet 1.479 puta.
Šta se desilo?
Kompanija Jscrambler objavila je da je nepoznat napadač objavio zlonamernu verziju njenog npm paketa koji je preuzet gotovo 1.500 puta. Zaraženi paket sadržao je malver namenjen krađi osetljivih podataka i aktivirao se automatski tokom instalacije. Iako je kompanija reagovala brzo i uklonila zlonamernu verziju nakon dva sata, potencijalna šteta je već bila učinjena.
Koga pogađa?
Pogođeni su pre svega razvojni inženjeri i organizacije koje koriste Jscrambler paket za zaštitu JavaScript koda. Prema statistici Node Package Manager-a, paket je preuzet 1.479 puta u razdoblju od dva sata dok je bio dostupan. Rizik je posebno veliki za razvijače koji rade sa poverljivim podacima - izvornim kodom, akreditacima, cloud kredencijalima i kripto novčanicima.
Kako se zaštititi?
- Odmah ažurirajte na verziju 8.22 ili noviju Jscrambler paketa
- Pregledate sve preuzete verzije paketa iz periods (verzije 8.14, 8.16, 8.17 i 8.20 su zaražene)
- Rotirajte sve tajne i akredencijale - Git ključeve, SSH ključeve, CI/CD tokene, AWS i Azure kredencijale
- Proverite pristup Git repozitorijumima, cloud servisima i ostalim poverljivim resursima
- Trebalo bi da pretpostavite da je vaša razvojna sredina kompromitovana i da je restejurate iz poznatih bezbednih backup-a
- Aktivirajte dvofaktorsku autentifikaciju na svim bitnijim servisima
Tehnički detalji
Zaražene su verzije paketa: 8.14, 8.16, 8.17 i 8.20. Malver je izvršavan kroz preinstall hook i sadržao je infostealer koji je ciljao izvodni kod, Git i SSH kredencijale, AWS/Azure/GCP akredencijale, Kubernetes konfiguracijske fajlove, AI alate (Claude, Cursor, Windsurf), kripto novčanike (MetaMask, Phantom, Coinbase), podatke iz pretraživača, kao i podatke iz saradničkih aplikacija (Slack, Discord, Telegram). Malver je koristio ChaCha20-Poly1305 enkripciju za obfuskovanje koda što je otežavalo analizu. Paket je bio zavisnost za još četiri dodatna Jscrambler paketa.
Preporuka Sajber Radara
Svi razvojni timovi trebalo bi da hitno prověre da li su koristili zaražene verzije Jscrambler paketa i da odmah izvrše rotaciju svih pristupnih podataka. Ova inicijent pokazuje važnost monitoring-a lanaca snabdevanja softverom - čak i paket od pouzdane kompanije može biti kompromitovan ako se obezbeđenja objavljujućih kredencijala zanemarena.