Атаки на npm: как злоумышленники обходят проверку подлинности пакетов

В ночь на 19 мая злоумышленники опубликовали 633 вредоносные версии пакетов в реестре npm, успешно пройдя проверку подлинности Sigstore. Атака стала возможной благодаря компрометации учетной записи мейнтейнера, что позволило получить валидные сертификаты для подписи пакетов. Система Sigstore корректно подтвердила, что пакеты были собраны в CI-среде, однако не смогла определить, был ли автором публикации легитимный разработчик или злоумышленник с украденными данными.

Параллельно была зафиксирована атака на популярное расширение Nx Console для VS Code, установленное более 2,2 млн раз. За 40 минут, пока вредоносная версия оставалась доступной, она автоматически обновилась у 6 тыс. пользователей. Вредоносный код собирал конфигурации Claude Code, токены AWS, GitHub, npm, содержимое хранилищ 1Password и учетные данные Kubernetes. Исследователи связывают кампанию с финансово мотивированной группой TeamPCP, действующей под названием Mini Shai-Hulud.

Эксперты из Endor Labs, Socket, StepSecurity и других компаний выявили семь ключевых уязвимостей, использованных в атаках: подделка происхождения пакетов npm, кража учетных данных расширений VS Code, автоматическое выполнение MCP-серверов, инъекции в CI/CD-агенты, выполнение кода в фреймворках агентов, утечка данных из IDE и неконтролируемое использование AI-сервисов сотрудниками. Особую опасность представляют AI-кодинговые инструменты, такие как Claude Code и GitHub Copilot, которые автоматически выполняют код без дополнительных проверок.

Аналитики отмечают рост активности хакерских групп, нацеленных на кражу учетных данных разработчиков. Согласно отчету CrowdStrike, группа STARDUST CHOLLIMA утроила темп атак на финансовые организации в конце 2025 года, используя фишинговые кампании с поддельными техническими заданиями и синтетическими средами для видеозвонков. Основной целью остаются токены GitHub, npm, ключи AWS и секреты CI/CD.

Для защиты рекомендуется внедрить двухфакторную авторизацию при публикации пакетов с высокой популярностью, ограничить использование AI-инструментов в корпоративной среде и провести аудит всех расширений IDE с доступом к терминалу или файловой системе. Особое внимание следует уделить CI/CD-конвейерам, где AI-агенты могут обрабатывать вредоносные инструкции из комментариев к пулл-реквестам.