Масштабная атака на цепочку поставок затронула 637 пакетов npm; GitHub и Grafana потенциально под угрозой

Согласно аналитике угроз Slow Mist, недавно крупномасштабная атака на цепочку поставок, известная как «Mini Shai-Hulud», скомпрометировала npm-аккаунт atool, развернув 637 вредоносных версий в 317 пакетах за 22 минуты. Пострадали популярные пакеты с высокой частотой использования, включая AntV и Echarts-for-react, а также версии Python SDK durabletask 1.4.1, 1.4.2 и 1.4.3, которые были ложно опубликованы под видом официальных релизов Microsoft.

Атака позволила получить несанкционированный доступ к учетным данным, внутренним репозиториям и чувствительной облачной инфраструктуре, с потенциальным боковым перемещением на машины разработчиков и в CI/CD-пайплайны. Утечки GitHub-токенов и недавний инцидент с программ-вымогателем у Grafana Labs, вероятно, связаны с этой кампанией. Slow Mist рекомендует немедленно заменить все экспонированные учетные данные, удалить затронутые пакеты, изолировать потенциально скомпрометированные системы и внедрить строгие политики проверки зависимостей.