Первый самореплицирующийся червь, по цепочке заражающий всё новые пакеты в экосистеме.

Принцип довольно простой: червь обновляет пакеты на скомпрометированных аккаунтах через postinstall вредоносным bundle[.]js. Пакеты качают, малварь тянет токены, и заражение идёт дальше.

С учётом того, сколько там зависимостей, охват у атаки масштабный. Затронуты уже больше 500 пакетов, и число растёт. Скомпрометирован оказался даже аккаунт CrowdStrike. В черве инфостилер TruffleHog на 800 секретов, плюс приватные репы на скомпрометированных аккаунтах залетают в публичные.

В общем, если вы думали, что компрометация Nx — это плохо, подвезли Nx 2.0, гораздо хуже прежней. И ведь кроме нулевого пациента интеракции ноль — всё на самоподдуве через CI/CD. Автоматизация, которую мы заслужили 😁

BJH Chat | BJH Info