Aż 18 pakietów JavaScript, które tygodniowo były pobierane ponad dwa miliardy razy, zostało zainfekowanych złośliwym kodem. Atak określany jest przez ekspertów jako największe naruszenie bezpieczeństwa w historii ekosystemu open source. Zmienione biblioteki były dystrybuowane przez npm, czyli jeden z kluczowych rejestrów pakietów dla Node.js, i trafiły do milionów projektów na całym świecie.
Według raportu Aikido, w zainfekowanych wersjach bibliotek pojawił się fragment kodu, który działał bezpośrednio w przeglądarce użytkownika. Skrypt przechwytywał aktywność związaną z kryptowalutami i protokołami web3, manipulował działaniem portfeli i przepisywał adresy docelowe transakcji. Dzięki temu środki ofiar zamiast trafiać do prawidłowych odbiorców, zasilały konta kontrolowane przez atakujących. Celem były różne waluty cyfrowe, w tym Ethereum, Bitcoin, Solana, Tron, Litecoin i Bitcoin Cash.
Banalne wejście w system
Szczegóły incydentu pokazują, że atak nie był wyrafinowany technicznie. Administrator wspomnianych pakietów, znany w serwisie Bluesky jako „bad-at-computer”, otrzymał wiadomość e-mail podszywającą się pod dział wsparcia npm. Fałszywy link umożliwił zresetowanie jego zabezpieczeń dwuskładnikowych, co otworzyło napastnikom pełny dostęp do konta i możliwości publikacji złośliwych wersji bibliotek. Innymi słowy, globalny atak na miliardy pobrań rozpoczął się od kliknięcia w e-mail phishingowy.
Problem stary jak open source
To nie pierwszy raz, kiedy ekosystem open source staje się celem. Już w 2016 roku incydent z usunięciem małego pakietu left-pad doprowadził do paraliżu tysięcy projektów, pokazując, jak krucha bywa infrastruktura programistyczna. Późniejsze lata przyniosły kolejne ataki, w których przejmowano konta opiekunów bibliotek w Pythonie, Ruby czy Javie.
Branża próbowała reagować, promując zestawienia materiałów oprogramowania (SBOM), a także wprowadzając wymogi dotyczące stosowania uwierzytelniania dwuskładnikowego. Ostatni atak dowodzi jednak, że obecne środki nie są wystarczające. Skala zależności w nowoczesnym rozwoju oprogramowania sprawia, że jedna luka w procesie publikacji może wpłynąć na całe łańcuchy dostaw.
Przyszłość bezpieczeństwa pakietów
Eksperci ostrzegają, że tym razem skutki ograniczyły się do prób kradzieży kryptowalut. Jednak fakt, że tak szeroko używane pakiety zostały zainfekowane w tak prosty sposób, pokazuje, że potencjał do spowodowania katastrofy jest ogromny. Przy odpowiednio złośliwych intencjach, zmodyfikowane biblioteki mogłyby służyć do masowego wycieku danych, instalacji backdoorów czy sabotażu infrastruktury krytycznej.
Pokaż / Dodaj komentarze do: Najpopularniejsze pakiety JavaScript zainfekowane. To największy w historii atak na opensource