- TEA token tarım planına bağlı 150.000’den fazla npm paketi Amazon Inspector tarafından işaretlendi
- Saldırganlar, geliştirici etkisini taklit etmek ve kripto ödülleri kazanmak için kendi kendini kopyalayan spam paketlerini kullandı
- Araştırmacılar bunu büyük bir tedarik zinciri güvenlik olayı olarak adlandırıyor ve daha güçlü kayıt savunması ve işbirliğini teşvik ediyor
Araştırmacılar, dolandırıcılar için kripto tokenları kazanmayı amaçlayan büyük ölçekli bir dolandırıcılık operasyonunun parçası gibi görünen, kendi kendini kopyalayan, ancak görünüşte anlamsız on binlerce npm paketi buldu.
Siber güvenlik araştırmacıları Endor Labs yakın zamanda 43.000’den fazla spam paketi keşfetti Görünüşe göre bunun yüklenmesi iki yıl ve en az 11 hesap aldı. Tüm npm ekosisteminin kabaca %1’ini oluşturan paketler, kelimenin geleneksel anlamıyla kötü amaçlı değil; veri çalmıyor, arka kapı sağlamıyor veya sistem dosyalarını şifrelemiyor. İndirilip çalıştırıldıklarında kendilerini kopyalarlar.
Endor, bunların bir güncelleme yoluyla kötü niyetli hale getirilebileceğini tahmin etti, ancak aynı zamanda bazı paketlerin TEA hesaplarını listeleyen tea.yaml dosyalarını içermesi nedeniyle mali amaçlı bir kampanyanın parçası olabileceğini de söyledi.
Şüpheleri doğrulamak
Çay, merkezi olmayan bir çerçeve protokolüdür. açık kaynak Geliştiriciler, yazılıma katkıda bulunurken ödüllendiriliyor, bu da saldırganların etki puanlarını taklit etmeye çalışmış ve böylece daha fazla TEA tokenı kazanmış olabileceği anlamına geliyor.
Şimdi, Amazon‘ araştırmacıları görünüşte bu şüpheleri doğruladı. bir yeni raporŞirket, Amazon Inspector’ın (AWS’nin bir güvenlik değerlendirme hizmeti) yakın zamanda yeni bir tespit kuralıyla güncellendiğini ve tea.xyz token çiftçiliği kampanyasıyla bağlantılı 150.000’den fazla paketin (ilk raporun üç katı büyüklüğünde) işaretlendiğini söyledi.
Amazon’un algılama kurallarını güncellemesinden 150.000 paketi keşfetmesine ve sonuçları OpenSSF ile doğrulamasına kadar geçen süreç yaklaşık bir hafta sürdü.
Amazon, “Bu, açık kaynak kayıt defteri tarihindeki en büyük paket baskını olaylarından biri ve tedarik zinciri güvenliğinde belirleyici bir anı temsil ediyor” dedi.
“Bu olay, hem mali teşviklerin kayıt defteri kirliliğini benzeri görülmemiş ölçekte artırdığı tehditlerin gelişen doğasını hem de yazılım tedarik zincirinin savunulmasında endüstri-toplum işbirliğinin kritik önemini gösteriyor.”
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.