TrapDoor이라는 공급망 공격 캠페인이 npm, PyPI, CratesIO와 같은 인기 있는 저장소에 악성코드를 유포하고 있습니다. 악성 패키지는 의심하지 않는 개발자의 자격 증명을 탈취하려고 합니다. 이 위협은 오픈소스 소프트웨어에 대한 신뢰를 악용하여 개발 환경에 침투합니다.
TrapDoor가 패키지를 감염시키고 탐지를 회피하는 방법 🛡️
TrapDoor는 코드 난독화 기술과 합법적인 라이브러리와 유사한 패키지 이름을 사용하여 개발자를 속입니다. 일단 설치되면 패키지는 환경 변수, 액세스 토큰 및 구성 파일에 저장된 자격 증명을 추출하는 스크립트를 실행합니다. 그런 다음 공격자는 데이터를 원격 서버로 유출합니다. 위험을 완화하려면 버전 기록을 검토하여 각 패키지의 진위를 확인하고, 보안 스캐너를 최신 상태로 유지하며, 정적 분석 도구를 사용하세요.
자신감 넘치는 개발자와 그의 수상한 패키지 😅
소스 코드를 확인하지 않고 lodash-fix-urgente라는 패키지를 설치하는 것보다 신뢰를 나타내는 것은 없기 때문입니다. TrapDoor는 당신이 종속성 업데이트를 선택 사항이라고 생각할 것이라고 예상합니다. 결국, 당신의 AWS 토큰이 해커 포럼에 나타난 이유를 찾는 동안 악성코드는 비웃습니다. 기억하세요: 패키지를 확인하는 데는 5분이 걸리지만, 자격 증명 도난을 설명하는 데는 영원이 걸립니다.