Šta se desilo?

Malverna koda poznatog kao Shai-Hulud, čija je verzija procurela prethodne nedelje, sada se koristi u koordiniranim napadima na Node Package Manager (npm) — omiljenu platformu za objavljiv­anje softvera u JavaScript ekosistemu. Napadaci su tokom vikenda objavili zaražene pakete koji sadže infostealer funkcionalnosti, što predstavlja ozbiljnu pretnju za razvojne timove.

Koga pogađa?

Razvojni inženjeri i kompanije koje koriste npm pakete za razvoj JavaScript aplikacija su direktno ugroženi. Posebno su ranjivi razvoja­telji koji instaliraju pakete bez dublje provere zavisnosti i ponašanja koda. Takođe, krajnji korisnici aplikacija razvijenih sa zaraženim paketima mogu biti indirektno pogođeni ako se infostealer aktivira.

Kako se zaštititi?

  • Redovno pregledavajte sve zavisnosti u package.json i uklonite one koje više ne trebate
  • Koristite alate kao npm audit i Snyk za detekciju poznatih ranjivosti
  • Instalirajte samo pakete od provjerenih izdavača sa dobrom istorijom
  • Čuvajte ažuriranu listu sigurnih verzija paketa koje redovno pratite
  • Aktivirajte upozorenja za nove verzije paketnih zavisnosti
  • Razmotrujte korišćenje privatnog npm registra sa dodatnom kontrolom pristupa

Tehnički detalji

Shai-Hulud je infostealer malver sa mogućnošću prikupljanja osjetljivih podataka iz okruženja razvojnog sistema. Napada­či ga uklapaju u npm pakete koje zatim objavljuju na javni registar, oslanjajući se na automatsku instalaciju zavisnosti. Zaraženi paketi pokušavaju izvršiti arbitrarni kod tokom instalacije koristeći skripte za post-instalaciju.

Preporuka Sajber Radara

Sve organizacije koje koriste npm bi trebalo hitno da provere istoriju instaliranih paketa od vikenda i da ažuriraju svoje zavisnosti. Aktivirajte monitoring svih proceса vezanih za instalaciju paketa i razmotrite uvođenje strožih pravila za upravljanje zavisnostima u vašoj razvojnoj infrastrukturi.