Атаки на npm: как злоумышленники обходят проверку подлинности пакетов

Фото: VentureBeat
Краткий ответ
В мае 2024 года злоумышленники провели атаку на npm, опубликовав 633 вредоносных пакета с легитимными сертификатами Sigstore.
В ночь на 19 мая злоумышленники опубликовали 633 вредоносные версии пакетов в реестре npm, успешно пройдя проверку подлинности Sigstore. Атака стала возможной благодаря компрометации учетной записи мейнтейнера, что позволило получить валидные сертификаты для подписи пакетов. Система Sigstore корректно подтвердила, что пакеты были собраны в CI-среде, однако не смогла определить, был ли автором публикации легитимный разработчик или злоумышленник с украденными данными.
Параллельно была зафиксирована атака на популярное расширение Nx Console для VS Code, установленное более 2,2 млн раз. За 40 минут, пока вредоносная версия оставалась доступной, она автоматически обновилась у 6 тыс. пользователей. Вредоносный код собирал конфигурации Claude Code, токены AWS, GitHub, npm, содержимое хранилищ 1Password и учетные данные Kubernetes. Исследователи связывают кампанию с финансово мотивированной группой TeamPCP, действующей под названием Mini Shai-Hulud.
Эксперты из Endor Labs, Socket, StepSecurity и других компаний выявили семь ключевых уязвимостей, использованных в атаках: подделка происхождения пакетов npm, кража учетных данных расширений VS Code, автоматическое выполнение MCP-серверов, инъекции в CI/CD-агенты, выполнение кода в фреймворках агентов, утечка данных из IDE и неконтролируемое использование AI-сервисов сотрудниками. Особую опасность представляют AI-кодинговые инструменты, такие как Claude Code и GitHub Copilot, которые автоматически выполняют код без дополнительных проверок.
Аналитики отмечают рост активности хакерских групп, нацеленных на кражу учетных данных разработчиков. Согласно отчету CrowdStrike, группа STARDUST CHOLLIMA утроила темп атак на финансовые организации в конце 2025 года, используя фишинговые кампании с поддельными техническими заданиями и синтетическими средами для видеозвонков. Основной целью остаются токены GitHub, npm, ключи AWS и секреты CI/CD.
Для защиты рекомендуется внедрить двухфакторную авторизацию при публикации пакетов с высокой популярностью, ограничить использование AI-инструментов в корпоративной среде и провести аудит всех расширений IDE с доступом к терминалу или файловой системе. Особое внимание следует уделить CI/CD-конвейерам, где AI-агенты могут обрабатывать вредоносные инструкции из комментариев к пулл-реквестам.
Частые вопросы
- Как злоумышленники обходили проверку подлинности пакетов в npm?
- Злоумышленники компрометировали учетные записи мейнтейнеров, получали валидные сертификаты Sigstore и публиковали вредоносные пакеты, которые система корректно подтверждала как подписанные в CI-среде, но не могла отличить легитимного разработчика от злоумышленника.
- Какие уязвимости использовались в атаках на npm и VS Code?
- Эксперты выявили семь ключевых уязвимостей: подделку происхождения пакетов, кражу учетных данных расширений VS Code, инъекции в CI/CD-агенты, выполнение кода в AI-инструментах и утечку данных из IDE.
- Какие группы стоят за атаками на npm и почему они опасны?
- Атаки связывают с группой TeamPCP (Mini Shai-Hulud), которая собирала конфигурации Claude Code, токены AWS, GitHub, npm и учетные данные Kubernetes. Группа STARDUST CHOLLIMA также активна в краже учетных данных разработчиков.
- Какие меры защиты рекомендуются после инцидентов с npm?
- Рекомендуется внедрить двухфакторную авторизацию для публикации популярных пакетов, ограничить использование AI-инструментов в корпоративной среде, провести аудит расширений IDE и усилить контроль над CI/CD-конвейерами.
Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml