Il messaggio di posta elettronica che Junon ha letto proveniva da un indirizzo e -mail in NPMJS.HELPE, un dominio creato tre giorni fa per duplicare gli NPMJS.com ufficiali utilizzati da NPM. Dice che l’account di Junon non verrà chiuso se non aggiorni le sue informazioni 2 FA per cui gli utenti devono fornire un passcode una tantum fornito da un’applicazione autentica oltre alla password da presentare o accedere quando si effettuano l’accesso a qualsiasi chiave di sicurezza fisica.
In accordo con uno Analisi Dall’agenzia di sicurezza Akido, il codice contaminato si è iniettato nel browser Web dei sistemi infetti e ha iniziato l’osservazione per il trasferimento di monete di Etherium, Bitcoin, Solan, Tronon, Litcoin e Bitcoin. Quando vengono rilevate queste transazioni nazionali, i pacchetti infetti sostituiranno i portafogli di destinazione con gli indirizzi controllati invasivi. Il malware ha lavorato alle funzioni JavaScript, tra cui le API XMLHTPRQUST e WALLET. Il codice controlla le funzioni di aggancio in modo che possano essere arrestati o modificati in specifici punti di esecuzione.
Il suono dell’attacco è arrivato allo spazio di archiviazione NPM come altri due attacchi a catena di approvvigionamento rivolti ad altri repositi che sono stati influenti nell’ecosistema del software open source. Uno, Rilasciato venerdì L’agenzia di sicurezza ha compromesso la privacy di 3.325 per i conti per gli account in PyPI, NPM, Dakarhab, Githab, Cloudflair e Amazon Web Service. Tutto sommato, l’utente di 327 GitHub è stato danneggiato attraverso l’archiviazione 817.
Nell’attacco, gli account di manutenzione compromessi spingono gli aggiornamenti del pacchetto che aggiungono verbi Githab contaminati al flusso di lavoro che estraggono la privacy del token e altri tipi di autenticazione. Fino a venerdì, Gitguardian ha detto che nove NPM e 15 pacchetti PYPI erano a rischio di negoziazione.
Un attacco separato a catena dell’offerta ha anche colpito gli utenti di Githube il mese scorso, The Security Agency Wiz Rapporto La settimana scorsa. Mira a NX, un sistema di build open source e lo strumento di gestione dell’archiviazione utilizzato nelle impostazioni aziendali. L’accordo iniziale è iniziato dopo aver ricevuto un token di autenticazione valido su un account NPM.
Il codice contaminato viene archiviato nel sistema compromesso di Githab e NPM Token. Abusa inoltre interfacce di linea di comando AI per identificare file aggiuntivi che possono essere efficaci per l’accesso all’archiviazione degli interessi. Nella seconda fase dell’attacco, il token Githab è stato utilizzato per pubblicare il pubblico sui profili Githab pubblicando il pubblico. I certificati Pilopard sono stati caricati nella riserva di Githab che contiene il nome di epilarità S1, la WIS ha costituito la base del nome di ingresso S1 per questo incidente.
