Вредоносные пакеты NuGet украли данные ASP.NET; пакет npm распространял вредоносное ПО

Четыре вредоносных пакета NuGet и один вредоносный пакет npm были пойманы на краже данных ASP.NET Identity и развертывании C2-бэкдоров — набрав более 50 000 загрузок до их удаления. Это не просто очередная драма с зависимостями — это полноценное нарушение цепочки поставок, нацеленное одновременно на разработчиков .NET и экосистемы JavaScript.

Пакеты были разработаны так, чтобы выглядеть легитимно, но содержали скрытые полезные нагрузки, которые эксфильтровали конфиденциальные данные аутентификации и устанавливали каналы управления и контроля. Представьте это как троянского коня в вашем менеджере пакетов — только он крадет ваши учетные данные вместо вторжения в Трою.

Вот почему нельзя слепо доверять пакетам с открытым исходным кодом. Это были не любительские скрипты — это были сложные атаки, разработанные для того, чтобы слиться с окружением и оставаться незамеченными, пока они выкачивают ваши самые конфиденциальные данные.

Пакеты были удалены, но ущерб нанесен — тысячи проектов потенциально скомпрометированы. Если вы недавно использовали какие-либо подозрительные пакеты, сейчас самое время провести аудит ваших зависимостей и проверить необычную сетевую активность.

Эта атака показывает, насколько уязвимой остается цепочка поставок программного обеспечения — и почему безопасность должна быть встроена в ваш рабочий процесс разработки, а не добавлена в качестве запоздалой мысли. В следующий раз, когда вы запустите 'npm install' или 'dotnet add package', помните: вы можете пригласить в свой проект не только код.