Активная кампания с вредоносными npm-пакетами похищает криптоключи и секреты CI/CD

По данным компании Snyk, в начале 2024 года была обнаружена масштабная кампания, в ходе которой злоумышленники распространяют не менее 19 вредоносных npm-пакетов, предназначенных для кражи учетных данных, криптографических ключей и токенов API. Эти пакеты были опубликованы в официальном репозитории npm и получили широкое распространение среди разработчиков. Кампания получила внимание специалистов по безопасности благодаря автоматическому сбору конфиденциальных данных из окружения разработчиков и систем непрерывной интеграции (CI).

Вредоносные пакеты, среди которых такие имена, как npm-crypt, node-secure и ci-token-stealer, внедряют код, который собирает секреты CI/CD, ключи криптовалютных кошельков и токены доступа к API из переменных окружения и конфигурационных файлов. Полученные данные отправляются на управляющие серверы злоумышленников. По информации Snyk, атака началась в январе 2024 года и продолжается, что требует немедленных мер по обнаружению и блокировке вредоносных зависимостей.

Исследователи выявили, что злоумышленники используют методы маскировки пакетов под популярные или безобидные библиотеки, что усложняет их обнаружение. В ответ на инцидент npm и GitHub усилили мониторинг и удалили обнаруженные вредоносные пакеты, а также заблокировали аккаунты, связанные с их публикацией.

Для команд безопасности и разработчиков важно проверить свои проекты на наличие упомянутых пакетов и аналогичных подозрительных зависимостей. Рекомендуется использовать инструменты автоматического сканирования, такие как Snyk, npm audit и GitHub Dependabot, для выявления и устранения угроз. Особое внимание следует уделить переменным окружения и секретам, которые могут быть скомпрометированы.

Влияние такой кампании на бизнес может быть значительным:

• Утечка ключей и токенов ведет к компрометации критически важных систем и сервисов.
• Злоумышленники могут получить доступ к инфраструктуре CI/CD, что позволит внедрять вредоносный код на этапе сборки и тестирования.
• Кража криптоключей может привести к финансовым потерям и нарушению доверия клиентов.
• Расследование и устранение последствий атак требует значительных ресурсов и времени.

Для минимизации рисков, связанных с подобными атаками, командам информационной безопасности рекомендуется:

• Внедрить строгий контроль и аудит используемых npm-пакетов, включая проверку их происхождения и активности.
• Использовать инструменты для автоматического обнаружения подозрительных изменений и вредоносного кода в зависимостях.
• Ограничить доступ к секретам и токенам, применяя принцип минимальных привилегий и изоляцию окружений.
• Регулярно обновлять и патчить компоненты, а также проводить ревизию цепочки поставок.
• Обучать разработчиков и DevOps-инженеров методам безопасного использования открытых библиотек и управления секретами.

В условиях роста атак на цепочки поставок программного обеспечения внимание к безопасности внешних компонентов становится критически важным для защиты корпоративных систем и данных. Комплексный подход к управлению внешней поверхностью атаки поможет своевременно выявлять и нейтрализовать угрозы, снижая потенциальный ущерб от подобных кампаний.

---

Источник: Snyk Blog – Malicious npm Packages Stealing CI/CD Secrets