Napad na programe, ki jih tedensko snamejo milijarde ljudi
Neznani napadalci so v več odprtokodnih programskih paketov podtaknili zlonamerno kodo, ki je potem našla pot v več računalnikov nič hudega slutečih uporabnikov. Šlo je za največji odkriti napad na viru programske opreme (supply-chain), saj imajo vsi prizadeti paketi skupno več kot dve milijardi prenosov na teden. Storilcev še niso izsledili.
Napad je meril na več kot dvajset paktov, in sicer: backslash@0.2.1, chalk@5.6.1, chalk-template@1.1.1, color-convert@3.1.1, color-name@2.0.1, color-string@2.1.1, wrap-ansi@9.0.1, supports-hyperlinks@4.1.1, strip-ansi@7.1.1, slice-ansi@7.1.1, simple-swizzle@0.2.3, is-arrayish@0.3.3, error-ex@1.3.3, has-ansi@6.0.1, ansi-regex@6.2.1, ansi-styles@6.2.2, supports-color@10.2.1, proto-tinker-wc@1.8.7, debug@4.4.2.
O napadu je bila javnost obveščena v začetku tedna. Vektor napada je razvijalec Josh Junon, ki je odgovoren ali soodgovoren za razvoj vseh prizadetih paketov. Potrdil je, da so vdrli v njegov sistem, potem ko je neprevidno kliknil na povezavo v lažnivem elektronskem sporočilu in ponastavil svoje prijavne podatke. Sporočilo je dobil z domene support.npmjs.help, ki je podobna legitimni domeni npmjs.com. Tedaj je prijavne v resnici zaupal nepridipravom, ki so potem v repozitorije npm naložili okužene verzije paketov. Ni šlo za kakšne obskurne paketke, temveč tudi nekaj ključnih v ekosistemu JavaScript.
Dodali so 280 vrstic kode, ki je na iskala transakcije s kriptovalutami in jih spremenila tako, da so pristale pri piscih. Glavni namen je torej povsem finančni. To sicer ni edini tovrstni primer, saj je konec minulega tedna istovrstni napad prizadel 327 uporabnikov Githuba in 817 repozitorijev. Že avgusta pa so napadalci uspešno napadli Nx. Niti uradni repozitoriji torej niso nujno varni.
