Исследователи в области кибербезопасности выявили новую кампанию атак на цепочку поставок программного обеспечения, которая затронула различные пакеты npm, связанные с экосистемой @antv. Эта атака является частью продолжающейся волны атак под названием Mini Shai-Hulud. В результате инцидента были скомпрометированы пакеты, связанные с учетной записью мейнтейнера npm atool.

Одним из наиболее заметных пакетов, затронутых атакой, является echarts-for-react — популярная обертка для React, используемая для работы с Apache ECharts, которая имеет около 1,1 миллиона загрузок в неделю. Это указывает на потенциально широкий масштаб воздействия атаки на пользователей, использующих эти библиотеки в своих проектах.

Кибератакующие смогли получить доступ к учетной записи мейнтейнера, что позволило им подменить легитимные версии пакетов на вредоносные. Это создало риск для разработчиков, которые могли неосознанно установить зараженные версии пакетов, что в свою очередь могло привести к компрометации их приложений и данных.

Специалисты рекомендуют разработчикам немедленно обновить свои зависимости и проверить версии пакетов, которые они используют. Также важно следить за новыми обновлениями от команды npm и сообщениями о безопасности, чтобы быть в курсе всех изменений и потенциальных угроз.

Эта ситуация подчеркивает важность обеспечения безопасности в экосистеме программного обеспечения и необходимость регулярного мониторинга используемых библиотек. Пользователи и разработчики должны быть особенно внимательны к источникам и проверять целостность пакетов, которые они интегрируют в свои проекты.

Источник новости:
The Hacker News

Читать полностью