Une attaque coordonnée de la chaîne d'approvisionnement a ciblé l'écosystème npm, impliquant 30 paquets malveillants, selon une alerte de sécurité de SlowMist. Les attaquants ont distribué des logiciels espions JavaScript en créant de faux dépôts de bots de trading et des paquets npm à thème DeFi. Le paquet stake-math@3.5.4 a été identifié comme une dépendance verrouillée dans le dépôt donoaccestag/forex-mt5-trading-bot, qui présentait des signes d'anomalies avec environ 23 000 dépôts similaires forkés sous le compte poly-stocks.
L'attaque présente un risque de vol de données sensibles, notamment des portefeuilles crypto, des cookies de navigateur, des mots de passe, des identifiants de développeur, des clés privées, des phrases de récupération et des jetons API. Il est conseillé aux développeurs de supprimer les paquets affectés, d'auditer les dépendances et les journaux CI, de considérer les systèmes ayant exécuté npm install comme compromis, de faire tourner les identifiants exposés et de reconstruire les environnements à partir d'images propres.
Écosystème npm ciblé par 30 attaques de paquets malveillants
Avertissement : Le contenu proposé sur Phemex News est à titre informatif uniquement. Nous ne garantissons pas la qualité, l'exactitude ou l'exhaustivité des informations provenant d'articles tiers. Ce contenu ne constitue pas un conseil financier ou d'investissement. Nous vous recommandons vivement d'effectuer vos propres recherches et de consulter un conseiller financier qualifié avant toute décision d'investissement.
