«Чуть-чуть не считается?»: атака на NPM показала уязвимость цепочек поставок

Сопровождающий проектов Джош Джунон, известный под ником ‘qix’, сообщил на GitHub, что причиной стало получение злоумышленниками доступа к его учётной записи через поддельное письмо для сброса двухфакторной аутентификации (2FA). Были скомпрометированы и пакеты, связанные с DuckDB, в результате отдельной атаки. Организациям, зависящим от пакетов, повезло, что злоумышленников, по-видимому, интересовал только криптоджекинг, заключили наблюдатели в области кибербезопасности.

Как отметил эксперт и инженер-аналитик компании «Газинформсервис» Александр Катасонов, это в очередной раз напоминает, что сегодня уязвимость может скрываться не в вашей инфраструктуре, а в сторонней библиотеке, которую вы используете каждый день. Один неосторожный шаг разработчика или взлом учётной записи — и привычный пакет превращается в канал атаки.

«В данной истории хочется порадоваться за коллег, которым повезло, что злоумышленник не смог нанести больший ущерб. Опасность таких случаев в том, что компании часто даже не подозревают о проблеме, пока вредоносный код уже работает внутри. Supply-chain-атаки незаметны, они используют доверие и масштаб экосистемы, чтобы нанести ущерб максимально быстро», — подчеркнул эксперт.

«Поэтому ключевым становится не только профилактика, но и постоянный мониторинг. Именно это обеспечивает GSOC компании «Газинформсервис» — круглосуточный центр мониторинга и реагирования на инциденты. Он помогает вовремя заметить подозрительную активность и быстро среагировать, минимизируя последствия даже самых изощрённых атак на цепочку поставок», — добавил Александр Катасонов.

Вся актуальная информация о современных вызовах и решениях в области информационной безопасности будет представлена на форуме GIS DAYS (Global Information Security Days*), который объединит ведущих экспертов отрасли.

Global Information Security Days* — дни глобальной информационной безопасности