У популярному сховищі інструментів розробника npm зафіксовано нову атаку на ланцюжок поставок програмного забезпечення. Зловмисники отримали несанкціонований доступ до облікового запису супроводжувача відомого пакета node-ipc, який використовується для міжпроцесової взаємодії в середовищі JavaScript. Хакерська модифікація призвела до впровадження шкідливого коду безпосередньо у свіжі релізи бібліотеки. Оскільки цей пакет автоматично завантажується тисячами розробників під час збирання корпоративних додатків, масштаб потенційного ураження інфраструктури розробки стрімко зріс за кілька годин.

Технічний аналіз імплантованого коду виявив у ньому функції інфостілера — інструменту для прихованого збору інформації. Шкідливий скрипт активується під час виконання стандартних команд інсталяції пакетів у системі. Програма сканує локальні файли конфігурацій, шукає змінні середовища, ключі безпеки SSH, файли з обліковими даними .env та викрадає паролі, збережені у сесіях локальних контейнерів Docker. Уся зібрана конфіденційна інформація кодується у формат Base64 та непомітно відправляється на віддалений сервер управління зловмисників. Скомпрометовані версії пакета вже видалені з репозиторію npm адміністраторами безпеки.