Напад на Акиос дистрибуцију на НПМ компромитује пакете и утиче на огроман развојни екосистем

Нпм налог одржаваоца Кс__НМ0__Кс био је мета сајбер напада 31. марта 2026, што је резултирало објављивањем две злонамерне верзије популарног нпм пакета (в1.14.1 и в0.30.4). Инцидент Кс__НМ1__Кс увео је зависност за `плаин-црипто-јс`, нови тројанизовани пакет, стварајући значајну рањивост у ланцу набавке софтвера.

Иако су компромитоване верзије одмах уклоњене у року од неколико сати, широка употреба Кс__НМ0__Кс – присутна у приближно 80% окружења облака и кода, и са приближно 100 милиона преузимања недељно – омогућила је брзо излагање. Кс__НМ1__Кс малвер је покренут у 3% погођених окружења пре него што је претња потпуно обуздана.

Организацијама широм света се сада снажно саветује да спроведу ригорозне ревизије својих система како би идентификовале свако могуће извршење ових компромитованих верзија, које прате ИД-ови ГХСА-фв8ц-кр5ц-95ф9 и МАЛ-2026-2306, и да предузму хитне корективне мере за ублажавање ризика.

Детаљи кршења и злонамерни пакети

Лажне верзије Кс__НМ0__Кс разликовале су се од легитимних укључивањем директне зависности од `плаин-црипто-јс`, пакета који је посебно креиран са злонамерном намером. Кс__НМ1__Кс Компромитоване измене су унете директно у нпм регистар преко проваљеног налога за одржавање, а касније су уклоњене након што је грешка брзо откривена.

Чак и уз релативно кратак период изложености, висока распрострањеност Кс__НМ0__Кс у развојној заједници је резултирала значајном ширењем, што је кулминирало мерљивим извршавањем злонамерног кода у различитим окружењима. Кс__НМ1__Кс ситуација наглашава брзину којом се напади на ланац снабдевања могу ширити, чак и са брзим одговорима на задржавање.

Механизми заразе и врсте малвера

Злонамерни пакет садржи дроппер, идентификован као `сетуп.јс`, који има функцију преузимања и извршавања корисних оптерећења друге фазе специфичне за платформу са сервера `сфрцлак.цом:8000`. Кс__НМ0__Кс извршење, дроппер врши самочишћење, уклања и враћа чисту датотеку `пацкаге.јсон`, са циљем да отежава откривање. Секундарни корисни терети раде као лагани тројанци за даљински приступ (РАТ), комуницирајући са командним и контролним сервером (Ц2) сваких 60 секунди, преносећи системски инвентар и чекајући упутства. Кс__НМ2__Кс Иако три варијанте имплементирају сличну функционалност — укључујући даљинско извршавање љуске, бинарно убризгавање, прегледање директоријума, листање процеса и свест о систему — оне се разликују у имплементацији за сваки оперативни систем. На мацОС-у, корисно оптерећење је универзални бинарни Кс__НМ4__Кс-О компајлиран у Ц++, способан за потписивање корисних оптерећења убачених кроз кодни дизајн. Кс__НМ5__Кс, корисно оптерећење је ПоверСхелл скрипта која успоставља постојаност преко кључа регистратора Кс__НМ7__Кс (МицрософтУпдате) и групне датотеке за поновно преузимање. Кс__НМ8__Кс на Кс__НМ9__Кс, корисни терет се испоручује као Кс__НМ10__Кс скрипта, демонстрирајући свестраност нападача у циљању различитих платформи.

Хитне акције за екипе обезбеђења

С обзиром на озбиљност инцидента, безбедносни тимови морају дати приоритет низу хитних акција. Од кључне је важности да се изврши ревизија коришћења Кс__НМ0__Кс да би се утврдило да ли су захваћене верзије (1.14.1 или 0.30.4) преузете или покренуте било где у развојном или производном окружењу.

Ако постоји било каква индикација извршења злонамерних пакета, премиса мора бити да су акредитиви компромитовани. Кс__НМ0__Кс Скенирајте захваћене системе за тајне, као што су променљиве окружења, АПИ кључеви и токени за приступ, и ротирајте ове акредитиве.

Поред тога, неопходно је истражити могуће путеве компромиса. Тимови би требало да прегледају цевоводе за изградњу и програмерске машине за било какве знаке неовлашћеног приступа или постојаности, јер се малвер можда ширио током инсталације и угрозио узводни ланац снабдевања.

Стална будност је неопходна, уз праћење сумњивих активности, укључујући одлазне везе на `сфрцлак.цом:8000`. Кс__НМ0__Кс Неопходно је анализирати евиденције за понашање беацонинга, аномалне ХТТП ПОСТ захтеве или неочекивана извршења процеса у вези са инсталацијом пакета.

Кључни идентификатори компромиса (МОК)

Тачна идентификација злонамерних артефаката је кључна за ублажавање инцидената и одговор. Кс__НМ0__Кс индикатори компромиса су каталогизовани да помогну организацијама у откривању изложености и инфекција.

Leia Tambem

Дигитална малопродаја смањује вредност паметног телефона Галаки С25 5Г уз банковне бонусе и замену уређаја

Значајан попуст на Галаки С25 Плус смањује вредност испод 4500 реала у онлајн продавници

Нови Ресидент Евил Зацха Цреггера игнорише игре и фокусира се на причу без преседана са новим ликовима

Међу компромитованим пакетима прве фазе, `акиос-0.30.4.тгз` (СХА256: 59336а964ф110ц25ц112бцц5адца7090296б54аб33фа95ц0744б94ф8а0д80ц) и `акиос-1.14.1.тгз` се истичу. (СХА256: 5бб67е88846096ф1ф8д42а0ф0350ц9ц46260591567612фф9аф46ф98д1б7571цд), оба представљају почетну фазу напада преко нпм пакета.

Злонамерни пакет фазе 1.5, тројанизовани `плаин-црипто-јс-4.2.1.тгз`, има СХА256 хеш: 58401ц195фе0а6204б42ф5ф90995еце5фаб74це7ц69ц67а27ц61ааф6. Компонента Кс__НМ0__Кс је критична, јер је зависност увела опаки код у системе.

Корисно оптерећење друге фазе је такође идентификовано: за мацОС, бинарни за и за Кс__НМ3__Кс, Кс__НМ4__Кс скрипта `лд.пи` (СХА256: фцб81618бб15едфдедфб638б4ц08а2аф9цац9ецфа5581ф1ф93б55840ф1ф).

Други важни МОК укључују:

Одговор и превенција напада у ланцу снабдевања

Брзо откривање и уклањање злонамерних верзија Кс__НМ0__Кс, иако је кључно, не елиминише потребу за дубљом анализом отпорности ланаца набавке софтвера. Овакви Кс__НМ1__Кс појачавају важност проактивних безбедносних стратегија, које превазилазе пуку реакцију на већ завршене нападе. Кс__НМ2__Кс и организације морају применити робусне мере да обезбеде своје токове посла, од почетног кодирања до коначне испоруке, обезбеђујући интегритет сваке компоненте.

Безбедност ланца снабдевања зависи од вишеструког приступа, укључујући усвајање јаке вишефакторске аутентификације (МФА) за све налоге програмера и одржаваоца пакета, ригорозне прегледе кода и коришћење аутоматизованих алата за скенирање зависности. Кс__НМ0__Кс праксе помажу у идентификацији и ублажавању рањивости пре него што их злонамерни актери искористе, стварајући ефикаснију баријеру против будућих покушаја компромиса.

Еволуција безбедности у менаџерима пакета

Пејзаж претњи за менаџере пакета као што је НПМ стално се развија, захтевајући да се платформе и заједница програмера непрестано прилагођавају. Свест о безбедности ланца снабдевања драматично се повећала последњих година, што је довело до побољшања политика и алата за откривање.

Заједнички напори између одржавалаца, безбедносних компанија и саме НПМ платформе су од суштинског значаја за јачање одбране. Кс__НМ0__Кс укључује примену строжих безбедносних провера за нове пакете и ажурирања, као и ширење најбољих пракси међу корисницима и сарадницима у заједници отвореног кода.

Текуће мере за програмере

Да би осигурали сталну сигурност, програмери морају одржавати будно понашање. Кс__НМ0__Кс укључује проверу аутентичности и репутације нових пакета пре него што их интегрише у пројекте и преферирање добро успостављених и активно одржаваних зависности.