10.03.2025
1 хв
741
Пов’язана з Північною Кореєю група *Lazarus* проникла в шість популярних пакетів *npm* в результаті складної атаки на ланцюжок постачання. Хакери впровадили шкідливий код і викрали облікові дані тисяч розробників та організацій по всьому світу.
Виявили одну з найбільших атак на реєстр *npm*, критично важливу інфраструктуру для розробки JavaScript-додатків*. Група хакерів отримала доступ до офіційних акаунтів розробників за допомогою фішингових атак і навіть обійшла двофакторну автентифікацію.
Хакери внесли мінімальні зміни у код шести популярних бібліотек:
– react-native-utils
– api-data-connector
– auth-manager-js
– node-service-config
– aws-lambda-handler
– react-state-manager
Ці пакунки завантажуються понад 25 мільйонів разів на тиждень, що значно збільшило масштаби порушення. Шкідливий код був активований лише у виробничому середовищі, що ускладнювало його виявлення під час тестування. Він витягував логіни, ключі API та паролі з локального сховища і відправляв їх на фейкові домени *analytics-collection.org* та *metrics-telemetry.net*. Викрадені дані хакери відправили у вигляді фейкового аналітичного трекера.
Команді безпеки *npm* рекомендується негайно видалити шкідливу версію пакета, а компаніям – оновити залежності, змінити паролі, які могли бути скомпрометовані, і посилити перевірку зовнішніх бібліотек.
Цей інцидент підкреслює зростаючу небезпеку атак на розробницьку екосистему. Користувачі *npm* повинні впроваджувати жорсткі політики управління залежностями: використовувати *version pinning*, перевіряти цілісність бібліотек та регулярно виконувати *npm audit*. В іншому випадку атаки на ланцюжки постачання можуть призвести до масштабних витоків даних та компрометації критичних систем.
