Haftasiga 2 milliard marta yuklab olinadigan 20 ta mashhur npm paketi ta'minot zanjiri hujumida suiiste'mol qilindi
3
33
0
Bir nechta npm paketlari dasturiy ta'minot yetkazib berish zanjiri hujumining bir qismi sifatida buzilgan, chunki ta'minotchining hisob qaydnomasi fishing hujumida o'g'irlangan.
Hujum Josh Junon (taxallusi Qix)ga qaratilgan bo'lib, u npm ("support@npmjs[.]help")ga o'xshatilgan elektron pochta xabarini olgan. Xabarda undan 2025-yil 10-sentabrgacha ikki bosqichli tasdiqlov (2FA) hisob ma'lumotlarini yangilash talab qilingan va buning uchun ilova qilingan havolani bosish kerakligi aytilgan.
Fishing sahifasi hamta'minotchidan foydalanuvchi nomi, parol va ikki bosqichli tasdiqlov (2FA) tokenini kiritishni so'ragan, ammo bu ma'lumotlar o'rtadagi raqib (AitM) hujumi orqali o'g'irlangan va npm registriga soxta talqinni nashr qilish uchun ishlatilgan.
Hodisa natijasida quyidagi 20 ta paket ta'sirlanganligi tasdiqlangan, ular birgalikda haftasiga 2 milliarddan ortiq yuklab olinadi:
ansi-regex@6.2.1
ansi-styles@6.2.2
backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
debug@4.4.2
error-ex@1.3.3
has-ansi@6.0.1
is-arrayish@0.3.3
proto-tinker-wc@1.8.7
supports-hyperlinks@4.1.1
simple-swizzle@0.2.3
slice-ansi@7.1.1
strip-ansi@7.1.1
supports-color@10.2.1
supports-hyperlinks@4.1.1
wrap-ansi@9.0.1
"Hammadan uzr so'rayman, men ko'proq e'tibor berishim kerak edi," deb yozdi Junon Blueskydagi postida. "Menga o'xshamang; stressli hafta o'tkazdim. Tozalash uchun harakat qilaman."
Manba kodiga kiritilgan yashiringan zararli dasturning tahlili shuni ko'rsatadiki, u kriptovalyuta o'tkazma so'rovlarini ushlab qolish va maqsadli hamyon manzilini Levenshtein masofasini hisoblash orqali unga juda o'xshash hujumchi nazoratidagi hamyon bilan almashtirish uchun mo'ljallangan.
Aikido Securitydagi Charlie Eriksenning so'zlariga ko'ra, zararli kod brauzer asosidagi ushlovchi(interceptor) sifatida ishlaydi va tarmoq trafigi hamda ilova API'larini o'g'irlab, so'rovlar va javoblarni qayta yozish orqali kriptovalyuta tasarruflarini o'g'irlaydi. Hozircha hujum ortida kim turgani noma'lum.
"Zararli kod avval typeof window !== 'undefined' tekshiruvi orqali brauzerda ishlayotganini tasdiqlaydi," deydi Socket. "Keyin u window.fetch, XMLHttpRequest va window.ethereum.request hamda boshqa hamyon provayderlari API'lariga ulanadi."
"Bu shuni anglatadiki, zararli dastur buzilgan kodni o'z ichiga olgan saytga tashrif buyurgan va hamyonlarini ulangan oxirgi foydalanuvchilarni nishonga oladi. Dasturchilar bevosita nishon emas, ammo agarda ta'sirlangan saytni brauzerda ochib, hamyonni ulashsa, ular ham qurbon bo'lishadi."
npm va Python Package Index (PyPI) kabi paket ekotizimlari dasturchilar jamiyatidagi mashhurligi va keng qamrovi tufayli doimiy nishonlar bo'lib qolmoqda, hujumchilar bu platformalarga bo'lgan ishonchni suiiste'mol qilib, zararli yuklamalarni tarqatmoqda.
Zararli paketlarni to'g'ridan-to'g'ri nashr qilishdan tashqari, hujumchilar typosquatting, hatto sun'iy idrok tomonidan gallyutsinatsiya qilingan bog'liqliklarni – slopsquatting deb ataladigan – suiiste'mol qilish kabi texnikalardan ham foydalanib, dasturchilarni zararli dasturlarni o'rnatishga aldamoqda. Bu hodisa yana bir bor hushyorlikni saqlash, CI/CD quvurlarini mustahkamlash va bog'liqliklarni qulflash zarurligini ko'rsatadi.
ReversingLabsning 2025-yilgi Software Supply Chain Security Reportga ko'ra, 2024-yilda kripto bilan bog'liq 23 ta zararli harakatdan 14 tasi npmni nishonga olgan, qolganlari esa PyPI bilan bog'liq.
"npm paketlarida chalk va debug bilan sodir bo'layotgan voqea bugungi kunda dasturiy ta'minot yetkazib berish zanjirida afsuski odatiy holga aylangan," deb aytdi Sonatypening Field CTOsi Ilkka Turunen.
"Zararli yuklama kripto o'g'irlashga qaratilgan edi, lekin bu egallab olish endi o'rnatiluvchan an'anaviy hujumga amal qiladi – mashhur ochiq kodli paketlarni egallab olish orqali raqiblar sirlarni o'g'irlashi, orqa eshiklar (backdoor) qoldirishi va tashkilotlarga kirib borishi mumkin."
"Dasturchini nishonga olish tasodifiy tanlov emas edi. Paketlarni egallab olish endi Lazarus kabi ilg'or doimiy tahdid guruhlari uchun odatiy taktikaga aylangan, chunki ular bitta kam manbali loyihaga kirib borish orqali dunyodagi dasturchilar hamjamiyatining katta qismiga yetib borishlarini bilishadi."
