Хакеры взломали  разработчика Nx

Экосистема NPM столкнулась с новой атакой на цепочку поставок: объектом стал проект Nx, в репозиторий которого во вторник вечером были загружены несколько вредоносных версий пакетов.

По данным исследователей из Wiz, эти пакеты содержали малварь, предназначенную для кражи секретов разработчиков — GitHub- и NPM-токенов, SSH-ключей и данных криптовалютных кошельков, пишет Securitylab.

В опубликованном на GitHub руководстве команда Nx уточнила, что успешная компрометация приводила к публикации украденных учётных данных в виде новых публичных репозиториев от имени соответствующих пользователей.

При заявленных 24 миллионах загрузок NPM-пакетов Nx в месяц успешная атака теоретически могла затронуть огромное количество разработчиков. «С учётом популярности экосистемы Nx и факта злоупотребления инструментами ИИ, этот инцидент показывает растущую сложность атак на цепочку поставок», — отметил сооснователь StepSecurity Ашиш Курми. По его словам, крайне важно немедленно принять меры тем, кто установил скомпрометированные версии.

В Wiz также сообщают, что репозитории с украденными данными оставались доступными для скачивания около восьми часов, пока GitHub не заблокировал их. Как именно злоумышленник получил доступ к NPM-аккаунту Nx, пока неясно. По предварительным данным, был скомпрометирован токен с правами публикации. При этом у всех сопровождающих проекта была включена двухфакторная аутентификация, но она не требовалась для публикации версий, а контроль вёлся только с помощью механизма проверки подлинности публикаций.

Nx подчёркивает, что их платформой пользуются более 70% компаний из списка Fortune 500. Однако проект не сообщил, сколько именно пользователей могло пострадать. Wiz в комментарии изданию The Register заявила, что утечка включала более 1000 действующих GitHub-токенов, около 20 000 файлов, десятки учётных данных для облаков и NPM-токенов.