Kritische Warnung: Großangelegter Angriff auf die Lieferkette trifft NPM-Ökosystem
Über 40 npm-Pakete, darunter das beliebte Paket @ctrl/tinycolor (über 2 Millionen wöchentliche Downloads), wurden in einem ausgeklügelten Angriff auf die Lieferkette kompromittiert. Der Angreifer verwendete einen sich selbst verbreitenden Mechanismus, um nachgelagerte Abhängigkeiten zu infizieren, was zu einem kaskadierenden Kompromiss führte. Die Nutzlast ist ein mit Webpack gebündeltes Skript, das AWS-, GCP-, GitHub- und andere Cloud-Anmeldeinformationen und sensible Daten stiehlt und über GitHub Actions eine persistente Hintertür etabliert. Der Angriff hat zu einem weit verbreiteten Diebstahl von Anmeldeinformationen geführt; sofortiges Handeln ist erforderlich, um betroffene Pakete zu überprüfen und alle Anmeldeinformationen zu rotieren.