Supply chain атака засегна популярна npm библиотека с 45 000 седмични изтегляния

Популярната npm библиотека „ua-parser-js“ с 45 000 седмични изтегляния стана жертва на supply chain атака. Атакуващите успяха да качат зловредна версия, която инсталира крадци на пароли и криптомайнъри на устройствата на разработчици и потребители. Проблемът бе открит и отстранен, но за показава нагледо как работи една подобна атака.

Използването на библиотеки с отворен код е масова практика, но често се приема за безопасно по презумпция. Истината е, че дори широкоразпространени и поддържани пакети могат да бъдат компрометирани. Затова е критично важно да проверяваме редовно зависимостите си – както за сигурност, така и за актуализации и промени от трети страни.

Препоръчително е компаниите да подхождат внимателно при избора на външни библиотеки: да проверяват тяхната история, активност на разработчиците и сигурността на веригата им на доставки. Ползването на автоматизирани инструменти за мониторинг и одит на зависимостите също е добра практика за минимизиране на риска от подобни атаки.