A avut loc recent un atac extrem, implicând un total de 18 pachete JavaScript care sunt descărcate de peste 2 miliarde de ori pe săptămână de către dezvoltatori și utilizatori, un eveniment extrem de problematic - amploarea atacului este fără precedent în industrie. Problema a fost detectată de echipa Aikido, care a contactat rapid responsabilii, care s-au dovedit în scurt timp neglijenți și iresponsabil, deschizând un link dintr-un e-mail de phishing care părea a fi autentic, pas care a dus la un eveniment care nu s-a putut remedia.
Creatorii codului au obținut acces la contul său de utilizator, rezultând în modificarea a un total de 18 pachete JavaScript populare, cu cod care poate fi utilizat pentru a fura criptomonede. Dacă aceste pachete sunt instalate pe un server, vizitatorii site-ului respectiv pot fi expuși direct, iar dacă au criptomonede, se vor evapora..
Următoarele pachete au fost afectate:
- backslash (0,26 milioane de descărcări săptămânale)
- chalk-template (3,9 milioane de descărcări săptămânale)
- supports-hyperlinks (19,2 milioane de descărcări săptămânale)
- has-ansi (12,1 milioane de descărcări săptămânale)
- simple-swizzle (26,26 milioane de descărcări săptămânale)
- color-string (27,48 milioane descărcări săptămânale)
- error-ex (47,17 milioane de descărcări săptămânale)
- color-name (191,71 milioane descărcări săptămânale)
- is-arrayish (73,8 milioane descărcări săptămânale)
- slice-ansi (59,8 milioane de descărcări săptămânale)
- color-convert (193,5 milioane de descărcări săptămânale)
- wrap-ansi (197,99 milioane de descărcări săptămânale)
- ansi-regex (243,64 milioane de descărcări săptămânale)
- supports-color (287,1 milioane de descărcări săptămânale)
- strip-ansi (261,17 milioane de descărcări săptămânale)
- chalk (299,99 milioane de descărcări săptămânale)
- debug (357,6 milioane de descărcări săptămânale)
- ansi-styles (371,41 milioane de descărcări săptămânale)
Totalizează mai mult de 2 miliarde descărcări pe săptămână, dar nu este clar câte au fost diseminate. Se știe că dezvoltatorul în cauză a reușit să recupereze contul furat, și a început să remedieze problema, astfel încât cele mai recente versiuni sunt lipsite de marware.
Atacul a vizat NPM: atacatorii au înregistrat un nou domeniu numit npmjs.help pe 5 Septembrie, și au trimis un e-mail de phishing dezvoltatorului afectat. Josh Junon a făcut clic pe link-ul din scrisoarea aparent autentică, ceea ce a dus la resetarea autentificării cu doi factori, deschizând calea atacatorilor de a-i fura contul.
Versiunile afectate sunt următoarele:
- backslash - 0.2.1
- chalk-template - 1.1.1
- supports-hyperlinks - 4.1.1
- has-ansi - 6.0.1
- simple-swizzle - 0.2.3
- color-string - 2.1.1
- error-ex - 1.3.3
- color-name - 2.0.1
- is-arrayish - 0.3.3
- slice-ansi - 7.1.1
- color-convert - 3.1.1
- wrap-ansi - 9.0.1
- ansi-regex - 6.2.1
- supports-color - 10.2.1
- strip-ansi - 7.1.1
- chalk - 5.6.1
- debug - 4.4.2
- ansi-styles - 6.2.2
Dezvoltatorul a produs deja o nouă versiune a fiecăreia. Dacă utilizați pachetele de mai sus, asigurați-vă că verificați versiunile și eliminați permanent cele vechi.
