Новости Исследователи взломали популярный NPM-пакет с миллионами загрузок

[NewsMaker]

Эксперты позволили посмотреть на безопасность разработки с другой стороны.​

---

---

Популярный npm-пакет с более чем 3,5 млн. еженедельных загрузок был признан уязвимым для атаки с захватом учетной записи ( Для просмотра ссылки Войди или Зарегистрируйся , ATO). Об этом говорится в Для просмотра ссылки Войди или Зарегистрируйся ИБ-компании Illustria.

По словам специалистов, пакет можно скомпрометировать, восстановив доменное имя с истекшим сроком действия для одного из его сопровождающих, а затем сбросить пароль. Хотя средства защиты npm ограничивают пользователей наличием только одного активного адреса электронной почты для каждой учетной записи, Illustria смогла сбросить пароль GitHub, используя восстановленный домен.

---

---

Атака предоставляет киберпреступнику доступ к связанной с пакетом учетной записи GitHub, что фактически позволяет публиковать троянские версии в реестре npm, которые можно использовать для проведения масштабных атак на цепочку поставок.

Это достигается за счет использования GitHub Actions, настроенного в репозитории для автоматической публикации пакетов при отправке новых изменений кода. Несмотря на то, что учетная запись сопровождающего npm настроена правильно (с двухфакторной аутентификацией), этот токен автоматизации обходит ее.

Illustria не раскрыла название модуля, но отметила, что связалась с его сопровождающим, который с тех пор предпринял шаги для защиты учетной записи.

17 января компания CheckPoint Для просмотра ссылки Войди или Зарегистрируйся , загруженных одним пользователем под ником «trendava». Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют.