633 вредоносные версии пакетов npm прошли проверку Sigstore 19 мая — и это серьезный сигнал тревоги для разработчиков. Злоумышленники использовали украденные учетные данные для генерации действительных сертификатов, что позволяет им обойти существующие системы защиты.
Контекст атаки
Атака произошла всего через день после того, как StepSecurity зафиксировала публикацию вредоносной версии расширения Nx Console для VS Code, популярного инструмента с более чем 2,2 миллиона установок. Вредоносная версия, выпущенная 18 мая, оставалась активной менее 40 минут, но за это время она была активирована около 6000 раз через автообновления, что ставит под угрозу безопасность системы.
Проблемы безопасности в системах CI/CD
При атаках злоумышленники смогли собирать ключи AWS, токены GitHub, данные из хранилищ 1Password и другие конфиденциальные сведения, что делает систему разработки уязвимой для дальнейших атак. Системы Sigstore, предназначенные для подтверждения действительности сертификатов, не способны определить, засвидетельствовал ли пользователь, имеющий эти удостоверения, публикацию пакета, что и стало причиной уязвимости.
Общий объем компрометированных версий пакетов после этой атаки составил 639, что значительно подчеркивает размер проблемы. Аналитики из нескольких исследовательских групп, включая Endor Labs и Microsoft, подтвердили наличие уязвимостей, которые могли бы быть использованы другими злоумышленниками.
Что значит эта атака для разработчиков
Для разработчиков это сигнал о необходимости пересмотра своих практик безопасности. С учетом того, что только за один день несколько поверхностей защиты провалились — от подмены предоставляемых доверительных сигналов до кражи учетных данных — компании должны усиливать свои системы безопасности. Использование украинских инструментов и улучшения в обучении разработчиков могут снизить риски.
Инциденты такого масштаба показывают, что системы автоматической проверки, даже если они конструированы с учетом передовых технологий, не являются абсолютной гарантией безопасности. Разработка новых стратегий и технологий защиты становится необходимостью для всех участников npm-экосистемы.
Следующий шаг — внимание к расследованию и исправлению всех уязвимостей. Институты безопасности должны продолжать работу над улучшением средств защиты и проверок в статусах разработки.