Зарардуу NuGet пакеттери ASP.NET маалыматтарын уурдады; npm пакети зыяндуу программа таштады

Төрт зарардуу NuGet пакети жана бир зарардуу npm пакети ASP.NET Identity маалыматтарын уурдап, C2 артка эшиктерди орноткону үчүн кармалды — алар алып салынганга чейин 50 000ден ашык жүктөө топтоду. Бул жөн гана көз карандылык драмасы эмес — бул .NET иштеп чыгуучуларын жана JavaScript экосистемаларын бир эле учурда көздөгөн толук масштабдуу жеткирүү тизмесинин бузулушу.

Пакеттер легитимдүү көрүнүш үчүн иштелип чыккан, бирок сезгич аутентификация маалыматтарын эксфильтрациялап, башкаруу жана көзөмөл каналдарын түзгөн жашырын пайдалуу жүктөмдөрдү камтыган. Муну пакет менеджериңиздеги трояндык ат катары элестетиңиз — бирок ал Трояга кол салуунун ордуна сиздин эсеп маалыматтарыңызды уурдайт.

Ошондуктан ачык булактуу пакеттерге көзүңүз жумганча ишенүүгө болбойт. Бул аматордук скрипттер эмес эле — бул сиздин эң сезгич маалыматтарыңызды соруп алуу менен бирге аралашып, радар астында учуп жүрүш үчүн иштелип чыккан татаал чабуулдар болчу.

Пакеттер алып салынды, бирок зыян келтирилди — миңдеген долбоорлор потенциалдуу түрдө компрометтешти. Эгер сиз жакында кандайдыр бир күбөлүү пакеттерди колдонгон болсоңуз, азыр сиздин көз карандылыктарыңызга аудит жүргүзүү жана көзгө көрүнгөн тармак иш-аракеттерин текшерүү убагы.

Бул чабуул программалык камсыздоо жеткирүү тизмеси канчалык сезгич экенин көрсөтөт — жана эмне үчүн коопсуздук сиздин иштеп чыгуу иш тартибиңизге курулушу керек, кийинчерээк ойлоп табылган нерсе катары бекитилбеши керек. Кийинки жолу 'npm install' же 'dotnet add package' командасын иштеткенде, эсиңизде болсун: сиз долбооруңузга коддон башка нерсени чакырышыңыз мүмкүн.