08:58
SlowMist: Wykryto złośliwe ataki na łańcuch dostaw wymierzone w użytkowników npm i deweloperów DeFiForesight News donosi, że według monitoringu SlowMist, narzędzie MistEye wykryło skoordynowaną złośliwą aktywność w łańcuchu dostaw npm. Działanie polega na wykorzystywaniu fałszywych repozytoriów kodu botów tradingowych oraz paczek npm o tematyce DeFi, aby rozpowszechniać narzędzie do kradzieży informacji w JavaScript wśród użytkowników npm, deweloperów DeFi oraz użytkowników botów tradingowych.Aktywność ta obejmuje 30 złośliwych paczek npm, w tym stake-math@3.5.4, która pojawia się jako zablokowana zależność w donoaccestag/forex-mt5-trading-bot. To repozytorium kodu wykazuje wyraźne oznaki nieprawidłowości: opiera się na złośliwych paczkach npm, które zostały zgłoszone w raportach bezpieczeństwa, a także posiada około 2300 wysoko podobnych, potencjalnie masowo generowanych forków, głównie powiązanych z kontem poly-stocks.Zachowanie potencjalnych atakujących obejmuje kradzież lokalnych wrażliwych danych, takich jak portfele kryptowalutowe, cookies przeglądarki, zapisane hasła, historia przeglądania, poświadczenia deweloperskie, historia shell, sejfy menedżerów haseł, klucze prywatne, frazy seed oraz tokeny API znalezione w kodzie źródłowym. Deweloperzy powinni natychmiast usunąć dotknięte paczki npm, przeprowadzić audyt package.json / package-lock.json oraz logów CI pod kątem tych 30 złośliwych paczek, traktować systemy, na których uruchamiano npm install, jako potencjalnie zaatakowane, niezwłocznie wymienić ujawnione portfele, klucze prywatne, tokeny npm, poświadczenia do chmury, klucze SSH oraz tokeny API, a także odbudować środowiska z czystego obrazu.