Opasne verzije popularnih razvoja alata pronađene u npm registru
Malveri su pronađeni u npm registru - pgserve i automagik paketi kradu kredencijale i se auto-šire kroz razvojno okruženje.
Šta se desilo?
Bezbednosni istraživači su otkrili zlonamerne verzije dva popularna alata za razvoj softvera - pgserve (ugrađenog PostgreSQL servera) i automagik (AI kodnog asistenta) - objavljene u npm registru. Ova lažna paketa mogu da preusmere računare programera i ukrade osetljive podatke, tokene i pristupne ključeve.
Koga pogađa?
Programeri i kompanije koje koriste JavaScript pakete iz npm registra su u direktnoj opasnosti. Groznica može biti posebno ozbiljna za organizacije sa razvojnim timovima, jer malver koristi npm objavljujuće tokene da se auto-širi kroz sve pakete koje takav razvojac može objaviti, što potencijalno ugrožava i korisnike tih paketa.
Kako se zaštititi?
- Odmah rotirati sve pristupne kredencijale - AWS ključeve, GitHub tokene, SSH ključeve i lozinke za baze podataka
- Prekinuti automatsko izvršavanje skripti tokom instalacije npm paketa
- Izvršiti komandu: npm config set ignore-scripts true
- Ograničiti dozvole npm objavljujućih tokena samo na specifične pakete i regulisati njih
- Konfigurirati CI/CD okruženja da koriste odvojene naloge sa minimalnim dozvolama
- Koristiti alate za analizu softvera koji mogu detektovati neslaganja između npm registra i izvornog koda
- Ograničiti mrežnu konekciju Build runnera samo na domene koje su eksplicitno potrebne
Tehnički detalji
Socket je detektovao lažne verzije automagik paketa (verzije 4.260421.33 do 4.260421.39) sa preko 6.700 nedeljnih preuzimanja, kao i lažni pgserve paket sa približno 1.300 preuzimanja. StepSecurity je otkrio da kompromitovane verzije pgserve (1.1.11, 1.1.12 i 1.1.13) injektuju 1.143-linijski skript za prikupljanje kredencijala koji se izvršava tokom postinit faze. Oba slučaja dele karakteristike sa prethodnom kampanjom CanisterWorm - malver se propagira kroz npm objavljujuće tokene pronađene na zaraženim mašinama. Ukradeni podaci se šifruju i prosleđuju u decentralizovanu Internet Computer Protocol (ICP) kantu na blockchainu, što čini napade težim za gašenje od strane organa zakona.
Preporuka Sajber Radara
Ako ste preuzeli bilo koju od ovih zlonamenih verzija, odmah rotirati sve kredencijale, proveriti CI/CD pipeline-e na znakove neovlašćene aktivnosti i razmisliti o primeni principa minimalne privilegije za sve razvojne tokene. Ova vrsta napada predstavlja rizik ne samo za vašu infrastrukturu već i za sve krajnje korisnike vaših paketa.
