Атака на цепочку поставок: вредоносные пакеты в npm, PyPI и crates.io нацелены на разработчиков крипто- и AI-проектов

Как сообщает Huo Xing Cai Jing со ссылкой на SlowMist, команда MistEye выявила атаку на цепочку поставок, нацеленную на публичные реестры пакетов. Злоумышленники разместили вредоносные пакеты в npm, PyPI и crates.io, ориентируясь на разработчиков в сферах криптовалют, DeFi, Solana, Sui/Move и искусственного интеллекта. По данным SlowMist, в кампании задействовано более 34 вредоносных пакетов и свыше 384 связанных версий. Предположительно, атакующие могли похищать криптокошельки, SSH-ключи, облачные учетные данные, токены GitHub/AWS, данные браузера, переменные окружения и другие секреты разработчиков. Отдельные полезные нагрузки также пытались закрепиться в системе, используя .cursorrules, CLAUDE.md, Git hooks, shell hooks, cron, systemd и SSH. Разработчикам рекомендуют немедленно удалить затронутые пакеты, изолировать скомпрометированные системы, сохранить журналы, заменить раскрытые учетные данные, пересобрать CI-окружения и рабочие машины разработчиков из чистых образов, а также проверить журналы активности GitHub, облачных сервисов, SSH и доступа к кошелькам.