Поделиться
Хакеры установили на GitHub крупной фриланс-платформы вредоносные Node.js модули. Они уничтожали все данные в системе
Хакерам удалось получить доступ к GitHub платформы Toptal, и скомпрометировать ряд репозиториев npm. Вредоносный компонент уничтожал все данные в системе.
Деструктивные намерения
Аутсорсинговая платформа Toptal подверглась изощренной хакерской атаке, в результате чего был скомпрометирован основной аккаунт организации в GitHub. Воспользовавшись этим доступом, злоумышленники загрузили 10 вредоносных версий npm-пакетов. Npm — менеджер пакетов для программной платформы Node.js.
Эти пакеты, как выяснили эксперты компании Socket, содержали код для вывода токенов аутентификации в GitHub, а также для полного вывода из строя конечных систем. Сверх этого, 73 репозитория, связанные с Toptal, были преобразованы в публичные.
Socket приводит названия скомпрометированных пакетов: @toptal/picasso-tailwind, @toptal/picasso-charts, @toptal/picasso-shared, @toptal/picasso-provider, @toptal/picasso-select, @toptal/picasso-quote, @toptal/picasso-forms, @xene/core, @toptal/picasso-utils, @toptal/picasso-typograph.
Picasso - это система UI-дизайна, сопровождением которой занимается Toptal.
Как выясняется, все библиотеки Node.js в них были «дополнены» идентичными вредоноснымим компонентами в файлах package.json. Во всех случаях зловредный код добавлялся в скрипты preinstall и postinstall.
До того, как заразу удалось вычистить, эти пакеты оказались скачанными не менее 5000 раз.
Вайпер в каждом скачивании
Исследование вредоносов показало, что их код предполагал вывод токенов GitHub на внешний ресурс, запрятанный под сервисом бесплатных URL webhook.site, после чего вредонос пытается втихую и безвозвратно удалить все каталоги и файлы на скомпрометированном устройстве, используя команды rm /s /q (под Windows) или sudo rm -rf --no-preserve-root / (под Linux).
«То есть, речь идет о вайпере», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «В таких случаях имеет смысл искать личный мотив: деструктивные вредоносы нередко свидетельствуют о том, что кому-то захотелось за что-то отомстить. Версию об инсайдерской атаке или действиях бывшего работника, разозленного увольнением, возможно, стоит рассматривать среди основных».
К настоящему моменту доподлинно неизвестно, каким именно образом была произведена первичная компрометация, но вариант инсайдерской атаки со стороны кого-то, у кого был легитимный доступ к GitHub-ресурсам Toptal не исключается. Впрочем, как и версия кражи реквизитов доступа.
Стоит отметить, что Toptal - сугубо сетевая компания, у которой нет никакой штаб-квартиры или центрального офиса.
За последние месяцы атаки на цепочки поставок наблюдаются все чаще, но нынешняя выглядит особенно масштабной.
К текущему моменту все атакованные пакеты восстановлены до последних безопасных версий.
Короткая ссылка
