Хакеры взломали аккаунт Toptal на GitHub и опубликовали вредоносные пакеты npm
Хакеры взломали учетную запись организации Toptal на GitHub и использовали свой доступ для публикации десяти вредоносных пакетов в индексе Node Package Manager (NPM).
Пакеты содержали код для кражи данных, который собирал токены аутентификации GitHub, а затем стирал данные с систем жертв.
Toptal — это биржа талантов для фрилансеров, которая помогает компаниям находить разработчиков программного обеспечения, дизайнеров и финансовых экспертов. Компания также поддерживает внутренние инструменты разработки и дизайн-системы, в частности Picasso, которые доступны через GitHub и NPM.
20 июля злоумышленники взломали GitHub-организацию Toptal и почти сразу же опубликовали все 73 доступных репозитория, выставив напоказ частные проекты и исходный код.
В последующие дни злоумышленники модифицировали исходный код Picasso на GitHub, включив в него вредоносное ПО, и опубликовали 10 вредоносных пакетов на NPM под названием Toptal, выдав их за легитимные обновления.
Вредоносные пакеты и модифицированные версии:
- @toptal/picasso-tailwind (v3.1.0)
- @toptal/picasso-charts (v59.1.4)
- @toptal/picasso-shared (v15.1.0)
- @toptal/picasso-provider (v5.1.1)
- @toptal/picasso-select (v4.2.2)
- @toptal/picasso-quote (v2.1.7)
- @toptal/picasso-forms (v73.3.2)
- @xene/core (v0.4.1)
- @toptal/picasso-utils (v3.2.0)
- @toptal/picasso-typography (v4.1.4)
Вредоносные пакеты были загружены примерно 5000 раз, прежде чем были обнаружены, что, вероятно, привело к заражению разработчиков вредоносным ПО.
Хакеры внедрили вредоносный код в файлы «package.json», чтобы добавить две функции: кража данных (скрипт «preinstall») и очистка хостов (скрипт «postinstall»).
Первый вариант извлекает токен аутентификации CLI жертвы и отправляет его на контролируемый злоумышленником URL-адрес веб-перехватчика, предоставляя ему несанкционированный доступ к учетной записи GitHub цели.
После извлечения данных второй скрипт пытается удалить всю файловую систему с помощью «sudo rm -rf –no-preserve-root /» в системах Linux или рекурсивно и молча удаляет файлы в Windows.
По данным платформы безопасности кода Socket , компания Toptal прекратила поддержку вредоносных пакетов 23 июля и вернулась к безопасным версиям, но не опубликовала публичного заявления, предупреждающего пользователей, загрузивших вредоносные версии, о рисках.
Хотя первоначальный метод взлома остается неизвестным, Socket перечисляет несколько возможных вариантов: от внутренних угроз до фишинговых атак, нацеленных на разработчиков Toptal.
BleepingComputer обратился к Toptal за заявлением, но мы все еще ждем их ответа.
Если вы установили какой-либо из вредоносных пакетов, вам рекомендуется как можно скорее вернуться к предыдущей стабильной версии.
About The Author
