Популярный npm-пакет с более чем 3,5 млн. еженедельных загрузок был признан уязвимым для атаки с захватом учетной записи (Account takeover, ATO). Об этом говорится в отчетеИБ-компании Illustria.
По словам специалистов, пакет можно скомпрометировать, восстановив доменное имя с истекшим сроком действия для одного из его сопровождающих, а затем сбросить пароль. Хотя средства защиты npm ограничивают пользователей наличием только одного активного адреса электронной почты для каждой учетной записи, Illustria смогла сбросить пароль GitHub, используя восстановленный домен.
Атака предоставляет киберпреступнику доступ к связанной с пакетом учетной записи GitHub, что фактически позволяет публиковать троянские версии в реестре npm, которые можно использовать для проведения масштабных атак на цепочку поставок.
Это достигается за счет использования GitHub Actions, настроенного в репозитории для автоматической публикации пакетов при отправке новых изменений кода. Несмотря на то, что учетная запись сопровождающего npm настроена правильно (с двухфакторной аутентификацией), этот токен автоматизации обходит ее.
Illustria не раскрыла название модуля, но отметила, что связалась с его сопровождающим, который с тех пор предпринял шаги для защиты учетной записи.
17 января компания CheckPoint обнаружила 16 вредоносных npm-пакетов , загруженных одним пользователем под ником “trendava”. Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют.