Недавняя кибератака на JavaScript привлекла внимание к уязвимостям в экосистеме программного обеспечения, затронув более 400 пакетов. Среди них как минимум 10 активно используются в криптовалютной сфере, что, по мнению авторов публикации, вызывает серьезные опасения у разработчиков и пользователей.
Масштабная инфекция вредоносным ПО Shai Hulud
Кибербезопасная компания Aikido Security выявила масштабную инфекцию, вызванную вредоносным ПО Shai Hulud, которое способно автономно распространяться в средах разработчиков. Исследователь Чарли Эриксен в своем блоге подробно описал, как это ПО затрагивает популярные пакеты, такие как:
- contenthash
- addressencoder
Статистика и последствия атаки
Эти пакеты имеют десятки тысяч загрузок каждую неделю. По оценкам ученых из Wiz, более 25 000 репозиториев уже пострадали от атаки, и новые компрометированные репозитории появляются каждые 30 минут. Это подчеркивает необходимость срочных мер по расследованию и устранению уязвимостей, особенно для всех сред, использующих npm пакеты.
Призыв к действиям
Сообщество кибербезопасности настоятельно призывает к активным действиям для защиты разработчиков и пользователей от подобных угроз.
Недавние исследования компании Aikido Security выявили серьезную уязвимость в цепочке поставок JavaScript, затронувшую более 400 пакетов, включая те, что используются в криптоиндустрии. Узнайте больше о ситуации в подробностях.
