Një sulm masiv ndaj zinxhirit të furnizimit synon kriptovalutat përmes NPM
Një sulm phishing i drejtuar ndaj llogarisë së një mirëmbajtësi të caktuar të softuerit ka arritur të kompromentojë paketa softuerësh që kanë mbi 2.6 miliardë shkarkime javore. BleepingComputer, duke vënë në dukje se infeksioni po quhet “sulmi më i madh i zinxhirit të furnizimit në histori”.
Zhvilluesi që qëndron pas paketave të softuerëve, i identifikuar si Josh Junon, u kompromentua nëpërmjet një skeme phishing që synonte disa blockchain-e, duke përfshirë Ethereum, Bitcoin, Solana dhe Tron, raporton The Register. Junon ka postuar në lidhje me kompromentimin në llogarinë e tij Bluesky. “Po, më kanë pwnuar. Email-i i rivendosjes së 2FA-së dukej shumë i ligjshëm,” shkroi Junon në llogarinë e tij. “Vetëm NPM i prekur.”
Më falni të gjithëve, duhet t’i kisha kushtuar më shumë vëmendje, shtoi ai. «Jo si unë; kam pasur një javë stresuese. Do të punoj për ta pastruar këtë.
Komprometimi u vu re fillimisht nga Charlie Eriksen, një studiues për firmën e sigurisë Aikido. Emaili i phishing u dërgua dhe u stilua në mënyrë që të dukej sikur kishte ardhur nga vetë organizata NPM. “Për të ruajtur sigurinë dhe integritetin e llogarisë suaj, ju lutemi ta përfundoni këtë përditësim sa më shpejt të jetë e mundur”, shkruhej në të. “Ju lutemi vini re se llogaritë me kredenciale të vjetruara 2FA do të bllokohen përkohësisht duke filluar nga 10 shtatori 2025, për të parandaluar aksesin e paautorizuar.”
NPM është një menaxher paketash me burim të hapur dhe shumëfunksional që mund të përdoret në një sërë qëllimesh të ndryshme. Uebsajti i NPM thotë se mbështetet në të nga rreth 17 milionë projekte të ndryshme softuerësh.
Në këtë rast, 18 paketa të ndryshme softuerësh të përdorura gjerësisht të mirëmbajtura nga Junon u rrëmbyen dhe u implantuan me kod të dëmshëm, vëren Eriksen.
Softueri me burim të hapur është një komponent thelbësor infrastrukturor i internetit modern, por dilemat e tij unike të sigurisë, ndonjëherë, mund të çojnë në katastrofa dixhitale. Në të vërtetë, korruptimi i një projekti të vetëm mund të çojë në një lloj përhapjeje të internetit që ndikon në një mori aplikacionesh dhe programesh.
NPM ka kaluar nëpër këtë lloj gjëje më parë. Një rast i ngjashëm (megjithëse jo aq i përhapur) ndodhi në vitin 2022 kur krijuesi i dy librarive shumë të njohura të kodimit i korruptoi ato rastësisht, duke çuar në “hakimin” e programeve të panumërta softuerike. Në atë rast të veçantë, rreth 20,000 projekte softuerike u tha se vareshin nga ai krijues i vetëm.
Ana pozitive është se, ndërsa infeksioni më i fundit raportohet të jetë historikisht i përhapur, duket sikur është shuar përpara se të shkaktohej ndonjë dëm i vërtetë. BleepingComputer vëren se ekipi i NPM ka fshirë versionet keqdashëse të paketave të softuerëve në një përpjekje për të ulur përhapjen e malware-it. Shkence.info kontaktoi NPM dhe Aikido për më shumë informacion dhe do ta përditësojë këtë histori kur të marrim një përgjigje.