Утечка данных в CI/CD-пайплайнах через скомпрометированные пакеты @antv npm

Введение

Компания Майкрософт обнаружила активную атаку на supply chain, направленную на экосистему пакетов node package manager (npm) @antv. Злоумышленник скомпрометировал учетную запись поддержки @antv и опубликовал вредоносные версии широко используемых пакетов визуализации данных, в результате чего возникло каскадное воздействие на всю систему. Вредоносный payload предназначен для кражи凭据 из сред GitHub Actions.

Подробности

Атака распространяется через цепочку зависимостей в библиотеки, такие как echarts-for-react (которая имеет более 1 миллиона загрузок в неделю), расширяя зону воздействия на CI/CD-пайплайны и облačные рабочие нагрузки по всей экосистеме. Вредоносный payload - это зашифрованная JavaScript-файл размером около 499 КБ, который запускается молча во время установки npm и предназначен для кражи凭據 из сред GitHub Actions. В payload обнаружены следующие возможности: - кража凭据 с нескольких платформ (GitHub, Amazon Web Services, HashiCorp Vault, npm, Kubernetes, 1Password) - перехват памяти процесса GitHub Action Runner - повышение привилегий - двухканальная эксфилрация данных - подделка данных SLSA (Supply chain Levels for Software Artifacts)

Что делать

Авторы учетной записи @antv подтвердили, что проблема уже решена. Однако рекомендуется проверить зависимость проектов от пакетов @antv и обновить их до последних версий. Итог: Атака на supply chain в экосистеме @antv npm пакетов является серьезной угрозой безопасности, и все разработчики должны быть осведомлены об этой проблеме и принять необходимые меры для защиты своих проектов.

Источник: Microsoft Security Blog