Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm
Неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей.
Скомпрометированный пакет JavaScript под названием eslint-scope является подмодулем популярного инструмента для анализа кода ESLint.
По словам представителей проекта ESLint, хакер использовал созданный им токен npm для аутентификации и внедрения новой версии библиотеки eslint-scope в репозиторий jpm. Злоумышленник скомпрометировал версию eslint-scope 3.7.2, поддержка которой недавно была прекращена.
«Судя по всему, злоумышленник похитил учетные данные npm, поэтому мы рекомендуем всем, кто установил данную версию изменить свой пароль npm и (если это возможно) отключить токены npm и сгенерировать новые», - отметили представители проекта.
В ходе инцидента были скомпрометированы порядка 4,5 тыс. учетных записей. В качестве меры предосторожности, команда npm отключила все токены доступа, созданные до 12 июля 2018 года (до 17:30 по московскому времени). Данная мера требует, чтобы каждый зарегистрированный пользователь npm повторно аутентифицировался на npmjs.com и сгенерировал новые токены доступа.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
