Недавняя координированная атака на цепочку поставок затронула восемь пакетов на платформе Packagist. Вредоносный код, обнаруженный в этих пакетах, был разработан для запуска бинарного файла Linux, который загружается из URL-адреса GitHub Releases. По информации компании Socket, все пострадавшие пакеты были пакетами Composer, однако вредоносный код не был добавлен в файл composer.json. Вместо этого он был внедрён в файл package.json, что указывает на целенаправленное воздействие на проекты, использующие JavaScript.

Атака затронула несколько популярных библиотек, что может привести к серьезным последствиям для разработчиков, использующих эти пакеты в своих проектах. Вредоносный код был нацелен на то, чтобы незаметно внедриться в приложения, что делает его особенно опасным. Эксперты по кибербезопасности предупреждают, что подобные атаки становятся все более распространенными в экосистеме открытого программного обеспечения.

Среди рекомендаций по защите от таких атак специалисты советуют разработчикам внимательно проверять зависимости своих проектов и использовать инструменты для мониторинга изменений в коде. Также важно следить за обновлениями безопасности и применять патчи своевременно.

Ситуация подчеркивает необходимость повышения осведомленности в области кибербезопасности среди разработчиков и организации более строгих мер контроля за безопасностью в экосистемах, использующих открытое программное обеспечение. Атака на Packagist служит тревожным напоминанием о том, что цепочки поставок остаются уязвимыми для злоумышленников, и требует от всех участников рынка повышенного внимания к безопасности своих продуктов.

Источник новости:
The Hacker News

Читать полностью