To nie pierwszy raz kiedy atakujący obierają za cel łańcuchy dostaw. Nie tak dawno informowaliśmy o ataku na listę otwartych bibliotek npm, a już pojawia się kolejne zagrożenie – malware ukryty w pakietach PyPI, Ruby oraz wspomnianym wyżej npm. TLDR: Badacze bezpieczeństwa z Socket.dev zidentyfikowali szereg pakietów zainfekowanych złośliwym oprogramowaniem,…
Czytaj dalej »
Systemy agentowe, duże modele językowe oraz już-nie-taka-nowość (chociaż wciąż zyskujące popularność) serwery MCP gościły na łamach sekurak.pl wielokrotnie. Pod jednym z artykułów, gdzie opisywaliśmy możliwe wektory ataków na serwery MCP, można było spotkać głosy sceptycznie podchodzące do tematu niebezpiecznych serwerów. Dlatego tym razem chcielibyśmy przedstawić atak, którego wystąpienie było tylko…
Czytaj dalej »
Środowisko NPM po raz kolejny stało się miejscem propagacji malware. Jeszcze nie milkną echa o ostatniej szeroko zakrojonej kampanii, która na szczęście nie odniosła oczekiwanych efektów, a już pojawiło się nowe zagrożenie. Malware ukryty w kodzie QR, umieszczony w pakiecie fezbox. TLDR: Podejrzana biblioteka została wykryta przez badaczy z zespołu…
Czytaj dalej »
Całkiem niedawno opisywaliśmy kampanię, która miała być największym atakiem na łańcuch dostaw w historii. Atakujący wykorzystali przejęte, dzięki phishingowi, konta programistów i umieścili w pakietach złośliwy kod wykradający środki z portfeli kryptowalut. Przestępcy osiągnęli dość dyskusyjny sukces (na szczęście), jednak to nie znaczy, że na tym zagrożenia czyhające na developerów…
Czytaj dalej »
Przedstawiamy atak na łańcuch dostaw, który miał wstrząsnąć światem, ale na szczęście stał się tylko bolesnym przypominieniem, jak dużo trzeba jeszcze zrobić w kontekście bezpieczeństwa zależności.
Czytaj dalej »
Ledger – producent fizycznych portfeli kryptowalutowych opublikował oświadczenie, w którym potwierdza, że doszło do naruszenia bezpieczeństwa w kodzie Ledger Connect Kit oraz informuje, że użytkownicy powinni wstrzymać się od wykonywania transakcji przez najbliższe 24h. Co się stało? Kilka dni temu użytkownicy zauważyli, że Ledger Connect Kit ładuje podejrzany kod, który…
Czytaj dalej »
Pamiętacie nasz artykuł “Zaskakująca metoda infekcji wielkich (i mniejszych) firm” ? Jeśli nie, to w skrócie: badacze uploadowali swoje pakiety o odpowiednich nazwach do popularnych repozytoriów (typu npm). W środku rzeczywiście zawarli własny kod, który wykonał się w infrastrukturach firm z tytułu. Nie chodzi tutaj o uploadowanie pakietów, które mają…
Czytaj dalej »
Dla tych, którzy lubią czytać w oryginale – opis całej akcji tutaj. Dla tych, którzy mają mało czasu – badacze zuploadowali swoje pakiety o odpowiednich nazwach do popularnych repozytoriów (typu npm). W środku rzeczywiście zawarli własny kod, który wykonał się w infrastrukturach firm z tytułu. Wynik działania kodu wysłali do…
Czytaj dalej »
Chodzi o event-stream, a szczegóły dostępne są tutaj. Dodany, złośliwy kod stara się wykradać kryptowalutę(y) z portfeli użytkowników – prawdopodobnie żeby kod zadziałał musi być dołączony właśnie do projektu, który realizuje tego typu operacje. Jak doszło do infekcji? Poprzedni zarządzający repozytorium odpowiada z rozbrajającą szczerością: he emailed me and said…
Czytaj dalej »
Właśnie wykryto backdoora w jednym z pakietów dostępnych w npm (ESLint-scope – 2 500 000 pobrań w ostatnim tygodniu). Atak odbył się najprawdopodobniej przez wykradzenie danych dostępowych dewelopera i upload złośliwego kodu. Co nas może obchodzić backdoor w jakimś „niszowym” pakiecie? Odpowiedź: zależności npm. Pakiet włącza choćby ESLint (~3 300 00…
Czytaj dalej »
Jeśli ktoś używa Node.js czy programuje w JavaScripcie, pewnie zetknął się z popularnym managerem pakietów dla tego języka – npm. Jak czytamy: npm opens up an entire world of JavaScript talent for you and your team. It’s the world’s largest software registry, with approximately 3 billion downloads per week. The…
Czytaj dalej »
