npm отново под атака: зловреден Strapi плъгин след случая с Axios
Само дни след компрометираните версии на Axios, нов анализ показва още една атака в npm екосистемата – този път чрез Strapi плъгини.
Новият епизод от атаката е разкрит от Safedep, които са открили 36 зловредни npm пакета, маскирани като Strapi плъгини. Те:
- използват различни payload-и (поне 8 варианта)
- имитират легитимни плъгини
- действат като C2 (Command-and-Control) агенти
- позволяват отдалечено управление на приложения
Техническите детайли в случая не са от такова значение, може да ги прочете на сайта на Safedeep. Този пореден епизод показва ясно една тенденция: supply chain атаките стават стандарт. В комбинация с неконтролираното навлизане и предоверяване на AI в процеса на разработка, автоматизирането на cloud инфраструктури и прекомерната зависимост от външни библиотеки – това е рецепта за предизвестено бедствие.
По-конкретно: една библиотека може да компрометира цяла организация. Затова, преди да е станало късно, мислете и имплементирайте:
- контрол върху dependencies
- политики и видимост върху това какво влиза в системата ви.
Това е тема, която тепърва ще определя начина, по който се изграждат сигурни приложения – особено в свят, доминиран от AI и автоматизация.