Хакерская атака на репозиториях Toptal на GitHub позволяет распределить вредоносные программы с помощью диспетчера пакетов узлов
Количество кибер -атак для проектов с открытым исходным кодом и инструментов программирования постоянно растет. Известные компании также все чаще и чаще, и последствия таких инцидентов могут быть серьезными. Одно из недавних событий показывает, что даже хорошо известные организации должны особенно позаботиться о обеспечении своих репозиториев и счетов. В новостях мы обсуждаем случай, который является предупреждением для всей индустрии создания программного обеспечения.
Атака на Toptal показывает эволюцию методов, используемых преступниками, которые все чаще стремятся к юридическим организационным счетам для распространения вредоносного кодекса, — сказал Сокет, который занимается безопасностью цепочки поставок.
Новые пробелы в SharePoint Server. Microsoft подтверждает атаки китайских групп и рекомендует немедленную установку исправлений
Socket, компания безопасности, обнаружила серьезную атаку на цепочку поставок программного обеспечения. Преступники взяли под контроль организацию GitHub компании Toptal Company, которая является глобальной сетью талантов, которая обслуживает более 25 000 клиентов в более чем 14 странах. В результате атаки было опубликовано 73 репозиториев, а хакеры опубликовали не менее 10 вредоносных пакетов в регистрации менеджера пакетов узлов (NPM). Инфицированные пакеты содержали опасный код, который украл токены аутентификации GitHub и пытались удалить все файлы из систем жертв. Злоустойчивый код был размещен в популярных пакетах, таких как @toptal/picasso-tailwind, @toptal/picasso-charts и @toptal/picasso-provider. Эти компоненты являются частью системы проектирования Picasso, используемой программистами по всему миру. Зараженные пакеты были загружены примерно 5000 раз, прежде чем они были обнаружены и удалены. В атаке использовались так называемые «крючки жизни NPM», то есть сценарии, запущенные автоматически при установке пакета. Злоугодные команды выполнили два опасных действий. Они украли токены GitHub жертв и отправили их на управляемый сервер со стороны злоумышленника, а затем попытались удалить всю файловую систему на компьютере пользователя, используя команды «Sudo RM -RF-no-preserve-root /» на Unix и «RM /S /Q в Windows.
Их пикассо репо в основном уничтожен. Журнал событий, связанный в моем предыдущем ответе, показывает, что многие из их репо стали публично. Что -то ужасное случилось ☹ pic.twitter.com/tl2rafljrm
— Аднан Хан (@adnanthekhan) 21 июля 2025 года
Киберпреступники используют фальшивые учетные записи GitHub для размещения злоумышленного программного обеспечения Amadey и фишинговой стеганографии
Сокет также сообщил о других серьезных атаках на цепочку поставок на прошлой неделе. Четыре злокачественных пакета, три в NPM и один в PYPI, были загружены более 56 000 раз. Они содержали шпионское программное обеспечение, которое позволило регистрации ключей, перехватывая экран, собирая информацию о системе, доступ к веб -камере и кражу данных аутентификации. В следующей атаке кто -то взял на себя учетную запись на платформе NPM и загрузил три пакета, содержащие вредоносный код. Это произошло из -за того, что атакующий выиграл вход одного из программистов, отправив ему ложную страницу под названием «npnjs.com», которая выглядела почти так же, как настоящий «npmjs.com». Популярный пакет NPM под названием «IS» также был захвачен, который загружается около 2,8 миллионов раз в неделю. Это показывает, насколько опасны атаки атаки. Если один популярный пакет поступает, злой код может достичь миллионов компьютеров.
https://www.youtube.com/watch?v=OXQHH7ANZL6Q
1 миллиард долларов на киберготию за счет защиты. Трамп радикально меняет стратегию кибербезопасности США
Как защитить себя от подобных атак? Эксперты рекомендуют много профилактических мер. К ним относятся:
- включение двух -компонентной аутентификации,
- Внедрение правил защиты филиалов в репозиториях,
- мониторинг изменений в видимости репозитории,
- Просмотр скриптов жизненного цикла в файлах пакетов перед установкой зависимостей,
- Использование автоматического сканирования безопасности в потоках CI/CD,
- Регулярное вращение токенов аутентификации.
Также стоит использовать такие инструменты, как сокет, которые обеспечивают комплексную защиту от атак на цепочку поставок. Приложение Github Socket автоматически сканирует требования о притяжении, чтобы захватить вредоносные пакеты, прежде чем они доберутся до кода. Инструмент CLI COLCET обнаруживает опасные зависимости во время установки, а расширение розетки в браузер предупреждает программистов с подозрительными пакетами во время их выбора. Атаки на цепочку поставок программного обеспечения не являются чем -то новым. В 2025 году Сокет сообщил о многих кампаниях, использующих вредоносные пакеты в PYPI, NPM и Ruby Gems. В мае атаки на библиотеки, связанные с телеграммой, были записаны после запрета на использование этого приложения во Вьетнаме. Также были обнаружены пакеты NPM, которые украли средства из портфелей криптовалют Ethereum и BSC.
CloudFlare заблокировал атаку DDOS, которая побила все записи. 7,3 Тбит / с. Это как послание фильмов 9350 HD за 45 секунд
Особенно тревожной тенденцией является использование популярности искусственного интеллекта для создания вредоносных пакетов. Примером являются библиотеки, поддавающие себя SDK для взаимодействия со службами Aliyun AI Labs, которые заражают системы злокачественным скрытым кодом в моделях Pytorch. Toptal быстро отреагировал на инцидент, сняв злонамеренные версии пакетов и восстановив последние стабильные версии. Эта быстрая реакция, вероятно, предотвратила значительный дополнительный ущерб сообществу программистов. Случай Toptal показывает, что даже известные компании могут быть обмануты умными методами вымогательства данных и терять доступ к своим счетам. Сообщество программистов должно оставаться бдительным и внедрять комплексные меры безопасности, чтобы защитить себя от этих развивающихся угроз.
Источник: сокет, Ars Technica, CertPro
