Нещодавно дослідники скористалися перевагами широко використовуваного пакета NPM з мільйонами завантажень.

Було виявлено, що популярний пакет npm із понад 3,5 мільйонами завантажень щотижня піддається ризику атаки захоплення облікового запису, створюючи для користувачів можливі порушення безпеки! «Пакет можна отримати, відновивши прострочене доменне ім’я для одного з його супроводжуючих і скинувши пароль», — йдеться у звіті компанії Illustria, яка займається забезпеченням безпеки ланцюга поставок програмного забезпечення. Хоча запобіжні заходи npm дозволяють лише одну активну адресу електронної пошти на профіль, ізраїльська організація виявила, що вона здатна скинути пароль GitHub через відновлений домен.

Таким чином, ця атака надає зловмиснику можливість отримати доступ до облікового запису GitHub пакета. Це дозволяє їм розповсюджувати небезпечні версії в реєстрі npm, які можна використовувати для великомасштабних атак на ланцюги поставок. Розкрийте потенціал свого сховища, скориставшись функцією GitHub Action, яка налаштована на миттєву публікацію пакетів після зміни коду. «Навіть якщо обліковий запис користувача npm супроводжуючого належним чином налаштовано з [двофакторною автентифікацією], цей маркер автоматизації обходить його», — сказав Богдан Кортнов, співзасновник і технічний директор Illustria.

Хоча точний модуль залишається неоголошеним, Illustria зв’язалася з його супроводжувачем і вжила запобіжних заходів, щоб заблокувати будь-яке можливе захоплення. На жаль, це не одноразовий випадок; Зловмисники атакували облікові записи розробників уже кілька років, особливо у 2022 році, коли домен пакета ctx Python було конфісковано та замінено неавторизованою версією. Таким чином, важливо, щоб розробники вживали всіх необхідних заходів для захисту своїх облікових записів від потенційних загроз.