Мащабна supply-chain атака в npm: фишинг компрометира ключови JS библиотеки с над 2 млрд. сваляния седмично
Един от най-масовите supply-chain инциденти в екосистемата на npm е в ход: акаунт на maintainer е компрометиран чрез фишинг („update your 2FA“) и през него са публикувани злонамерени версии на поне 18 популярни пакета, сред които chalk и debug. Сумарно те имат ~2 млрд. изтегляния седмично. Първите сигнали и технически разбори идват от Aikido, а в GitHub вече има потвърдени тикети за компрометирани версии (напр. chalk 5.6.1, debug 4.4.2).
Атаката започва с много правдоподобен имейл от домейна npmjs.help (а не npmjs.com), който „напомня“ за обновяване на двуфакторната автентикация. След като е взет контрол над акаунта, в пакетите е инжектиран код с цел кражба на крипто/уеб3 активност в браузър (cryptostealer). Някои версии са свалени, но рискът остава за екипите, които са обновили в последните часове.
Това е абсолютен wake-up call за всички организации – няма застраховани. Дори да не пишете JavaScript, ваши инструменти за билд, CLI-та или CI пайплайни вероятно стъпват върху Node/npm и могат да изтеглят уязвими зависимости автоматично. Следете официалните съвети и списъците с засегнати версии и проверете дали сте дърпали ъпдейти в последните 24–48 часа.
За разработчиците:
- прегледайте зависимостите и подзависимостите си, фиксирайте версии и разчитайте на lockfile-и (npm ci)
- ограничете/забранете postinstall скриптове в CI, генерирайте SBOM и наблюдавайте advisories
- Ротирайте npm/GitHub токени,
- активирайте 2FA навсякъде, за предпочитане passkeys, и потвърждавайте подобни съобщения само през директно отворен npmjs.com (не през линкове в имейл – между другото, и засегантият разработчик казва, че „по прицнип не кликам на линкове, но този път…“).