Cryptonews

Кибер-нападение на экосистему программного обеспечения выявило уязвимости в более чем 170 репозиториях кода, связанных с ведущими технологическими фирмами

Source
CryptoNewsTrend
Published
Кибер-нападение на экосистему программного обеспечения выявило уязвимости в более чем 170 репозиториях кода, связанных с ведущими технологическими фирмами

11 мая группа TeamPCP предприняла крупномасштабную атаку на цепочку поставок программного обеспечения, известную как «Mini Shai-Hulud», в ходе которой было скомпрометировано более 170 пакетов в репозиториях npm и PyPI. В число заметных целей вошли TanStack, Mistral AI, UiPath и Guardrails AI, которые являются видными игроками в экосистеме инструментов для разработчиков.

За пять часов злоумышленники успешно опубликовали от 373 до 404 испорченных версий пакетов, ловко маскируя их под законные обновления. Это было достигнуто за счет использования слабых мест в рабочих процессах GitHub Actions, в частности неправильно настроенного рабочего процесса pull_request_target, в сочетании с тактикой отравления кэша. Злоумышленники также использовали токены OpenID Connect для аутентификации конвейеров публикации между GitHub и реестрами пакетов, такими как npm.

Вредоносная полезная нагрузка, сложный многоэтапный червь, похищающий учетные данные, был разработан для извлечения учетных данных из облачных сред и инструментов разработчика, проникновения в менеджеры паролей, а затем распространения по цепочкам зависимостей для компрометации дополнительных проектов. Это представляет собой серьезную угрозу как для традиционной среды Интернета, так и для среды Web3, поскольку скомпрометированные инструменты не только широко используются, но и являются неотъемлемой частью инфраструктуры цифровых активов.

Последствия атаки для крипто-пространства и Web3 вызывают особую тревогу, учитывая, что целевые инструменты широко используются в обеих экосистемах. Скомпрометированные учетные данные разработчика могут предоставить несанкционированный доступ к конфиденциальным областям, включая конвейеры развертывания смарт-контрактов, инфраструктуру кошельков и серверные системы обмена. TanStack, например, представляет собой популярный набор инструментов для создания веб-приложений, Mistral AI предоставляет необходимые инструменты для разработчиков для интеграции ИИ, а UiPath — крупную платформу автоматизации.

В ответ на атаку эксперты по безопасности советуют командам, которые могли загружать обновления из затронутых пакетов в течение пятичасового периода, принять немедленные меры. Это включает в себя очистку сред разработки, ротацию секретов и учетных данных, а также тщательную проверку деревьев зависимостей на предмет любых скомпрометированных версий пакетов. Криптокомандам, в частности, рекомендуется относиться к своим цепочкам зависимостей с той же строгостью, что и к аудиту смарт-контрактов, путем закрепления точных версий пакетов, проверки целостности пакетов и реализации сканирования во время сборки для обнаружения необычного поведения зависимостей.