Масштабная атака на цепочку поставок NPM, которая затронула около 10% всех облачных сред, мало что дала хакерам, разработавшим компрометацию. Такой вывод прослеживается из отчётов, в которых рассматривалась компрометация, поразившая популярные пакеты NPM, такие как ansi-стили, debug и chalk, которые загружаются более 2 миллиардов раз в неделю.
Сопровождающий проектов Джош Джунон, известный под ником ‘qix’, сообщил на GitHub, что причиной стало получение злоумышленниками доступа к его учётной записи через поддельное письмо для сброса двухфакторной аутентификации (2FA). Были скомпрометированы и пакеты, связанные с DuckDB, в результате отдельной атаки. Организациям, зависящим от пакетов, повезло, что злоумышленников, по-видимому, интересовал только криптоджекинг, заключили наблюдатели в области кибербезопасности.
Как отметил эксперт и инженер-аналитик компании «Газинформсервис» Александр Катасонов, это в очередной раз напоминает, что сегодня уязвимость может скрываться не в вашей инфраструктуре, а в сторонней библиотеке, которую вы используете каждый день. Один неосторожный шаг разработчика или взлом учётной записи — и привычный пакет превращается в канал атаки.
«В данной истории хочется порадоваться за коллег, которым повезло, что злоумышленник не смог нанести больший ущерб. Опасность таких случаев в том, что компании часто даже не подозревают о проблеме, пока вредоносный код уже работает внутри. Supply-chain-атаки незаметны, они используют доверие и масштаб экосистемы, чтобы нанести ущерб максимально быстро», — подчеркнул эксперт.
«Поэтому ключевым становится не только профилактика, но и постоянный мониторинг. Именно это обеспечивает GSOC компании «Газинформсервис» — круглосуточный центр мониторинга и реагирования на инциденты. Он помогает вовремя заметить подозрительную активность и быстро среагировать, минимизируя последствия даже самых изощрённых атак на цепочку поставок», — добавил Александр Катасонов.
Вся актуальная информация о современных вызовах и решениях в области информационной безопасности будет представлена на форуме GIS DAYS (Global Information Security Days*), который объединит ведущих экспертов отрасли.
Global Information Security Days* — дни глобальной информационной безопасности