APDEJT.si

Lažna spletna stran NPM je bila uporabljena v prevarantskem napadu za krajo žetonov vzdrževalcev, kar je privedlo do vnosov zlonamerne programske opreme v priljubljene JavaScript pakete, kot je eslint-config-prettier. Kibernetske združbe so skušale pretihotapiti zlonamerno programsko opremo v široko uporabljan npm paket z več kot 30 milijoni tedenskih prenosov. Dogodki poudarjajo resno grožnjo, ki jo predstavljajo napadi na dobavno verigo programske opreme, in ranljivost kritičnih komponent, kot je ekosistem npm.

V obsežnem napadu na dobavno verigo programske opreme so hekerji vstavili zlonamerno kodo v 18 priljubljenih paketov NPM, vključno s paketom 'debug', ki ima več kot 2,6 milijarde tedenskih prenosov. Napadalci so kompromitirali račune vzdrževalcev paketov preko phishing napadov in posodobili pakete, da bi vsebovali zlonamerno programsko opremo. Podjetje Aikido Security je napad označilo za največjega te vrste doslej.