Масштабна атака на ланцюг постачання вразила 637 пакетів npm, потенційно постраждали GitHub і Grafana

Згідно з аналітикою про загрози від Slow Mist, нещодавно масштабна атака на ланцюг постачання під назвою «Mini Shai-Hulud» скомпрометувала акаунт npm atool, розгорнувши 637 шкідливих версій у межах 317 пакетів за 22 хвилини. Під удар потрапили пакети з високою частотою використання, зокрема AntV і Echarts-for-react, а також версії Python SDK durabletask 1.4.1, 1.4.2 та 1.4.3, які були хибно опубліковані під виглядом офіційних релізів Microsoft.

Атака дала змогу несанкціоновано отримати доступ до облікових даних, внутрішніх репозиторіїв і конфіденційної хмарної інфраструктури, а також потенційно здійснити бічне переміщення на машини розробників і в пайплайни CI/CD. Ймовірно, витоки токенів GitHub і недавній інцидент із програмами-вимагачами від Grafana Labs пов’язані з цією кампанією. Slow Mist рекомендує негайно змінити (ротувати) всі облікові дані, які могли бути розкриті, замінити уражені пакети, ізолювати потенційно скомпрометовані системи та впровадити суворі політики перевірки залежностей.