Назад к блогу

Вредоносное ПО Glassworm атакует популярные React Native пакеты через npm

3 мин. чтения1 просмотровИИ-генерациявредоносное поуправление уязвимостямиоценка рисковуправление поверхностью атакиeasm

Вредоносное ПО атакует популярные React Native пакеты через npm

В марте 2023 года исследователи безопасности сообщили о масштабной атаке на цепочку поставок, связанной с двумя популярными npm-пакетами для React Native. Согласно публикации на BleepingComputer, опубликованной 15 марта 2023 года автором Catalin Cimpanu, злоумышленники внедрили вредоносный код в пакеты react-native-country-picker и react-native-international-phone-number, которые широко используются в мобильной разработке.

Компрометация была обнаружена исследователями, которые выявили вредоносный функционал, способный собирать данные об устройстве и информацию о номере телефона пользователей, а затем отправлять эти данные на удалённый сервер злоумышленников. Затронуты версии react-native-country-picker@0.3.9 и react-native-international-phone-number@0.11.8, опубликованные одним и тем же издателем. Вредоносный код активировался при использовании библиотек и мог представлять угрозу безопасности приложений.

После обнаружения инцидента оба пакета были удалены из npm-репозитория, а разработчики рекомендовали пользователям проверить свои lockfile-файлы, откатить зависимости до безопасных версий и провести аудит на наличие индикаторов компрометации. Также рекомендуется внимательно отслеживать обновления и использовать инструменты для анализа зависимостей.

Как происходила атака

Злоумышленники воспользовались доверием сообщества к популярным npm-пакетам, внедрив в них скрытый код, который активировался при использовании библиотек. Вредоносный функционал позволял собирать данные об устройстве и телефонных номерах пользователей, отправляя эту информацию на удалённый сервер злоумышленников, что представляет угрозу для безопасности как разработчиков, так и конечных пользователей приложений.

Особенность атаки заключается в том, что пакеты выглядели легитимно и не вызывали подозрений, поскольку обновления были опубликованы официальным аккаунтом разработчика. Это подчеркивает уязвимость цепочек поставок программного обеспечения, где один скомпрометированный компонент может привести к масштабным последствиям.

Почему это важно для организаций, управляющих внешней атакующей поверхностью

Современные приложения и сервисы все чаще зависят от множества сторонних библиотек и компонентов, особенно в экосистеме JavaScript и React Native. Атаки на цепочки поставок, подобные этой, демонстрируют, насколько опасно полагаться на внешние пакеты без тщательной проверки и мониторинга.

Для организаций, управляющих внешней атакующей поверхностью, это означает:

  • Повышенный риск компрометации через уязвимые или зараженные компоненты.
  • Возможность утечки конфиденциальных данных и учетных записей через вредоносный код в сторонних библиотеках.
  • Необходимость постоянного контроля и аудита используемых зависимостей, особенно при автоматическом обновлении пакетов.

Практические рекомендации для команд безопасности

  • Внедрите мониторинг цепочки поставок: Используйте инструменты для автоматического сканирования и анализа зависимостей на наличие известных уязвимостей и подозрительного кода.
  • Проверяйте издателей пакетов: Обращайте внимание на репутацию и активность аккаунтов, публикующих обновления, особенно если изменения выходят одновременно в нескольких пакетах.
  • Ограничьте автоматические обновления: Контролируйте процесс обновления библиотек, чтобы избежать внедрения вредоносных версий без проверки.
  • Используйте изолированные среды: Тестируйте новые версии пакетов в безопасных средах перед внедрением в продуктив.
  • Обучайте разработчиков: Повышайте осведомленность о рисках цепочек поставок и методах выявления подозрительных изменений в коде.
  • Реализуйте многоуровневую защиту: Помимо контроля зависимостей, используйте системы обнаружения аномалий и мониторинга активности приложений для своевременного выявления подозрительных действий.

Атака на цепочку поставок — это очередное напоминание о том, что безопасность цепочек поставок должна стать приоритетом для всех организаций, работающих с внешними компонентами. Только комплексный подход к управлению зависимостями и постоянный мониторинг помогут снизить риски и защитить критичные данные и инфраструктуру.

Поделиться:TelegramVK

Похожие статьи

Новости

Активная кампания с вредоносными npm-пакетами похищает криптоключи и секреты CI/CD

23 фев. 20263 мин. чтения3
вредоносное поуправление уязвимостямиоценка рисковуправление поверхностью атакиeasm

Опасные npm-пакеты маскируются под Solara Executor и крадут данные из Discord, браузеров и криптокошельков

15 мар. 20263 мин. чтения2
вредоносное поуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков
Новости

Взлом текстового редактора: Почему атака на Notepad++ — это урок для всех компаний

26 фев. 20262 мин. чтения3
управление поверхностью атакиeasmвредоносное поуправление уязвимостямиоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.