Hackeři napadli účet na GitHub tržiště s freelancery Toptal, získali přístup k celému jejich softwarovému repozitáři a poté vložili malware do populárních NPM balíčků.
Přístup k celému repozitáři společnosti za účelem šíření malwaru prostřednictvím aktualizací je cílem mnoha hackerů. Pokud má tato společnost také hodně populárního softwaru, je cíl o to lákavější.
Podle zprávy serveru Bleeping Computer se hackeři zmocnili účtu Toptal na GitHubu a okamžitě zveřejnili 73 soukromých repozitářů, čímž zveřejnili zdroje, které jsou normálně dostupné pouze interním vývojářům.
Jak k porušení došlo
Zatím není jasné, jak byl útok vůbec možný, ale útočníci využili neomezeného přístupu k vložení škodlivých skriptů do široce používaných balíčků návrhového systému Picasso, které následně odeslaly 10 infikovaných balíčků NPM maskovaných jako skutečné aktualizace.
Škodlivé balíčky obsahovaly dva skryté skripty:
Předinstalační skript: Extrahoval a odeslal ověřovací tokeny vývojářů z rozhraní příkazového řádku GitHub přímo útočníkům prostřednictvím webhooku.
Postinstalační skript: Pokus o smazání celých souborových systémů obětí:
V Linuxu: sudo rm -rf –no-preserve-root /
Ve Windows: rm /s /q
Tým pro výzkum hrozeb společnosti Socket, který pozoroval infikované balíčky v reálném čase, odhadl, že předtím, než tým Toptal ukončil jejich činnost, došlo k přibližně 5 000 stažením.
„Toptal reagoval rychle, jakmile byl kompromitován, a zamítl verze škodlivých balíčků a vrátil se k jejich posledním stabilním verzím, čímž zabránil dalšímu šíření škodlivého kódu. Tato rychlá reakce pravděpodobně zabránila značným dalším škodám pro komunitu vývojářů,“ uvedl Socket.
Toptal zatím oficiálně nepotvrdil narušení ani celý bezpečnostní incident.
Vývojářům, kteří nainstalovali dotčené balíčky, se doporučuje, aby se okamžitě vrátili ke stabilním verzím publikovaným před 20. červencem 2025 a aby rotovali nebo zneplatnili kompromitované tokeny GitHubu.
Pro více informací o bezpečnosti, nás neváhejte kontaktovat.
Zdroj: Bitdefender
