Кампания атак на цепочку поставок под названием TrapDoor распространяет вредоносное ПО в популярных репозиториях, таких как npm, PyPI и CratesIO. Вредоносные пакеты нацелены на кражу учетных данных у ничего не подозревающих разработчиков. Угроза использует доверие к программному обеспечению с открытым исходным кодом для проникновения в среды разработки.
Как TrapDoor заражает пакеты и избегает обнаружения 🛡️
TrapDoor использует методы обфускации кода и имена пакетов, похожие на легитимные библиотеки, чтобы обмануть разработчиков. После установки пакеты выполняют скрипты, которые извлекают переменные окружения, токены доступа и учетные данные, хранящиеся в файлах конфигурации. Затем злоумышленники выгружают данные на удаленные серверы. Чтобы снизить риск, проверяйте подлинность каждого пакета, просматривая его историю версий, поддерживайте актуальность сканеров безопасности и используйте инструменты статического анализа.
Уверенный разработчик и его подозрительный пакет 😅
Потому что ничто так не говорит о доверии, как установка пакета с именем lodash-fix-urgente без проверки его исходного кода. TrapDoor рассчитывает на то, что вы считаете обновление зависимостей необязательным. В конце концов, вредоносное ПО смеется, пока вы ищете, почему ваш токен AWS появился на форуме хакеров. Помните: проверка пакета занимает пять минут; объяснение кражи учетных данных занимает вечность.