К омпанията за киберсигурност Aikido Security откри безпрецедентен пробив във веригата за доставки в екосистемата на Node Package Manager (NPM) – такава, която бързо се превърна в най-обширната по рода си. Атакуващите успешно проникнаха в NPM акаунтите на един администратор, идентифициран като Джош Джунон (известен още като qix), внедрявайки злонамерен код в 18 широко използвани JavaScript пакета. Взети заедно, тези пакети представляват повече от 2,6 милиарда седмични изтегляния, което подчертава потресаващия мащаб на пробива, съобщава Ars technica.
В дигиталния свят, където софтуерът е в основата на всеки аспект от съвременния живот, фундаменталното доверие, което влагаме в кода, често се приема за даденост. Изтегляме приложения, разглеждаме уебсайтове и се свързваме с устройства, без да се замисляме, приемайки, че кодът, който ги захранва, е защитен.
Този инцидент, който сега се нарича най-големият по рода си, регистриран някога, доведе до проникване на зловреден код в софтуерни пакети с повече от 2 милиарда седмични изтегляния, демонстрирайки как една-единствена слаба точка може да доведе до катастрофални глобални последици.
Атаката е базирана на социалното инженерство. Тя не започна с пробив срещу голяма технологична компания или системите за сигурност, а с обикновен, целенасочен фишинг имейл. Инженери са получавали подвеждащи имейли от домейн, който изглежда като „support@npmjs.help“, като ги призоваваха да актуализират двуфакторното си удостоверяване (2FA), за да избегнат блокиране на акаунтите.
Един от тях се е подвел и е последвал указанията в имейла, с което е дал достъп на хакерите до системата си и те инсталират в нея вирус. Вместо да е насочен към сървъри или среди за разработка, злонамереният софтуер се фокусира върху взаимодействията с портфейли с криптовалута. Той се свързва с криптопортфейли като и тайно пренасочва транзакциите.
Учени откриха причината защо AI халюцинира
Въпреки че потребителският интерфейс е показвал правилните получатели, основният код е пренасочвал средствата към контролирани от хакера адреси в популярни вериги като Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash. И макар че атаката e овладяна бързо – много злонамерени версии са премахнати за по-малко от час, последиците са сериозни. Експертите предупреждават, че ако този инцидент беше останал незабелязан или беше включвал по-агресивни вируси, той би могъл да причини хаос не само в Web3, но и в масовите уеб приложения. Ако хакерите бяха избрали например, криптовирус или скрипт за изтриване на данни – ефектът от доминото би могъл да парализира критичната инфраструктура и бизнеса в мащаб, невиждан досега.
За крайния потребител това събитие служи като напомняне за скритите уязвимости в нашия взаимосвързан дигитален свят. Кодът, който захранва любимото ви приложение за социални медии или платформа за онлайн банкиране, не се създава във вакуум; той е сложен гоблен, изтъкан от хиляди компоненти с отворен код.
Безопасно ли е да даваме данните си на AI ботовете
Стотици хиляди чатове в Grok, показани в резултатите от Google
Може да не сте разработчик, но сте пряк ползвател (и потенциална жертва) на тази споделена екосистема. Докато експертите по сигурност и общността с отворен код действаха със забележителна бързина, за да идентифицират и смекчат заплахата, атаката разкрива нова, опасна истина: Не е нужно да са директно насочени към вас, за да бъдете компрометирани. Действията на един разработчик или сигурността на една-единствена библиотека с код могат да изложат на риск милиарди хора.
Nano Banana: Мистериозният нов продукт на Google, който може да замени Photoshop
AI вече изземва работните места на младите
Този инцидент бележи повратен момент в киберсигурността. Той подчертава крехкостта на една система, изградена върху доверие и изтъква неотложната нужда от по-стабилен, колективен подход към сигурността. В бъдеще тежестта на защитата вече не може да пада единствено върху разработчиците. Тя трябва да бъде споделена от цялата общност, от най-големите корпорации до отделния краен потребител, чрез подобрени протоколи за сигурност, проактивно наблюдение и по-добро разбиране на скритите зависимости, които захранват нашия дигитален живот.
Google казва, че AI не пречи на интернет страниците
Apple задава неудобния въпрос за AI: полезен ли е
Не пропускайте най-важните новини - последвайте ни в Google News Showcase
