Исследователи сообщили о крупной атаке на цепочку поставок ПО: злоумышленники получили доступ к GitHub-аккаунту разработчика Qix (Josh Junon) и выпустили заражённые апдейты популярных npm-пакетов. Внедрённый код активировал API и интерфейсы кошельков, сканировал транзакции и подменял адреса получателей. По данным Wiz, похожие библиотеки встречаются почти в каждой второй облачной среде, но не все системы скачали компрометированные версии.
Несмотря на потенциально широкий охват, аналитика Arkham показывает скромный результат — всего $1,043 в переводах ERC-20, поступивших на кошельки злоумышленников, суммы переводов варьировались от $1,29 до $436. Быстрое обнаружение уязвимости (в пределах нескольких часов) и частичная узконаправленность полезной нагрузки сократили ущерб.
Позже атака затронула и другие проекты — например, DuckDB. Эксперты подчёркивают, что такие инциденты растут: компрометация одной зависимости может одновременно поразить тысячи окружений, поэтому критически важен мониторинг и защита конвейера разработки.
по материалам
уникальность
