Зыяндуу npm пакеттери крипто ачкычтарын, CI сырларын жана API токендерин жыйноодо

Токтогула, иштеп чыгуучулар — сиздин npm көз карандылыктарыңыз куралданып калды. Коопсуздук изилдөөчүлөр 19 зыяндуу npm пакетин ачты, алар түз эле крипто ачкычтарын, CI/CD сырларын жана ИИ API токендерин жыйноодо. Бул жөнөкөй жеткирүү чынжырына кол салуу эмес — бул толук масштабдуу аккредитив уурулугу.

Пакеттер MCP (Model Context Protocol) инъекциясы аркылуу SANDWORM_MODE курту деп аталган нерсени таратып жатышат. Котормосу: алар сиздин VS Code кеңейтмелериңизди басып алып, GitHub токендеринен OpenAI API ачкычтарына чейинки баарын уурулоодо. Эгер сиз кандайдыр бир CI/CD конвейерлерин иштетсеңиз, сиздин сырларыңыз дагы менюдо.

Мына ушул пакеттер эмнени жыйноодо: крипто капчыктардын жеке ачкычтары, GitHub Actions жана Jenkinsтен CI/CD сырлары, OpenAI жана башка ИИ сервистери үчүн API токендери, SSH ачкычтары жана, негизинен, алар сиздин чөйрө өзгөрмөлөрүңүздөн таба алган каалаган аккредитивдер. Бул кийинки деңгээлдеги жеткирүү чынжыры согушу.

Кол салуу VS Code кеңейтмелери тарабынан колдонулган Model Context Protocol аркылуу зыяндуу кодду киргизүү менен иштейт. Орнотулгандан кийин, бул пакеттер сиздин системаңызды аккредитивдер үчүн сканерлеп, аларды кол салуучулар башкарылган серверлерге жөнөтөт. Бул жөнөкөй теория эмес — бул пакеттер эч нерседен күмөн болбогон иштеп чыгуучулар тарабынан мурунтан эле жүктөлгөн.

Эгер сиз кандайдыр бир сезимтал аккредитивдер менен иштесеңиз (жана чындыгын айтсак, ким эмес?), сиз көз карандылыктарыңызды ДАРОО текшерүүңүз керек. package.json файлыңызды текшериңиз, node_modules каталогуңузду карап чыгыңыз жана бул зыяндуу пакеттердин бирин дагы орнотконуңуз жок экендигин текшериңиз. Ошондуктан көз карандылыктарды сканерлөө жөнөкөй кошумча эмес — бул зарыл коопсуздук гигиенасы.