Исследователи в области кибербезопасности обнаружили нового самораспространяющегося червя в экосистеме npm. Названный CanisterSprawl, эта атака использует украденные токены разработчиков для компрометации пакетов и автоматического распространения. Socket и StepSecurity предупреждают, что угроза уже активна, используя скомпрометированные учетные данные для заражения репозиториев и кражи данных через контейнер ICP.
Механизм самораспространения в цепочке поставок 🧬
Червь действует с помощью украденных учетных данных npm, которые позволяют злоумышленникам публиковать вредоносные версии легитимных пакетов. После установки вредоносный код ищет дополнительные токены в среде разработчика для заражения новых проектов. Контейнер ICP выступает в качестве сервера для извлечения украденных данных. Socket и StepSecurity отмечают, что распространение происходит автоматически и может скомпрометировать всю цепочку поставок программного обеспечения, если не отозвать затронутые токены.
Ваш npm-токен — мастер-ключ для соседа 🔑
Оказывается, оставлять свой npm-токен в публичном репозитории — это всё равно что оставить ключи от машины с опущенными стеклами. Злоумышленники не просто входят, а приглашают весь район воспользоваться вашим автомобилем. CanisterSprawl — это не просто червь: это надоедливый родственник, который приходит на вечеринку кода, крадет учетные данные и уходит, не заплатив за круг. Помните: если вы не ротируете свои токены, кто-то другой сделает это за вас.