Вредоносный код, внедренный в пакеты с открытым исходным кодом, привел к краже криптовалюты и потенциальным бэкдорам в системах, затронув пользователей криптовалютной биржи dYdX. Исследователи из охранной фирмы Socket обнаружили, что пакеты, опубликованные в репозиториях npm и PyPI, были скомпрометированы, что позволило злоумышленникам украсть учетные данные кошельков и, в некоторых случаях, скомпрометировать устройства, сообщает Ars Technica. Атака подчеркивает растущую угрозу для цепочек поставок программного обеспечения с потенциально разрушительными последствиями для затронутых пользователей.
Скомпрометированные пакеты, включая версии npm dydxprotocolv4-client-js (3.4.1 и 1.22.1), подвергли риску все приложения, использующие их, по данным Socket. Прямым последствием атаки является полная компрометация кошельков и необратимая кража криптовалюты. Масштаб атаки охватывает все приложения, зависящие от скомпрометированных версий, затрагивая как разработчиков, тестирующих с реальными учетными данными, так и конечных пользователей в производстве.
Этот инцидент подчеркивает более широкую тенденцию атак, основанных на идентификации, как подробно описано в VentureBeat. В отдельном примере разработчик получил сообщение в LinkedIn, которое привело к установке вредоносного пакета. Этот пакет затем извлек облачные учетные данные, включая личные токены доступа GitHub и ключи API AWS, предоставив злоумышленнику доступ к облачной среде в течение нескольких минут. Эта цепочка атак, известная как поворот управления идентификацией и доступом (IAM), подчеркивает существенный пробел в том, как предприятия отслеживают угрозы, основанные на идентификации, согласно исследованию CrowdStrike Intelligence.
В то время как инцидент с dYdX сосредоточен на криптовалюте, более широкие последствия скомпрометированных пакетов программного обеспечения значительны. Атаки демонстрируют, как легко злоумышленники могут проникнуть в системы, используя уязвимости в цепочке поставок программного обеспечения.
В других новостях, стоимость Bitcoin испытала значительную волатильность. По данным Fortune, криптовалюта потеряла 50% своей стоимости, упав с максимума примерно в $125 000 за монету в октябре 2025 года до минимума в $61 300. Акции компании Michael Saylor's Bitcoin treasury, Strategy, упали на 17% и снизились на 75% от своего пика в прошлом году.
Тем временем, Государственный департамент удаляет все сообщения со своих публичных аккаунтов в социальной сети X, сделанные до возвращения президента Трампа к власти 20 января 2025 года, сообщает NPR Politics. Сообщения будут архивированы внутри, и те, кто захочет их просмотреть, должны будут подать запрос в соответствии с Законом о свободе информации, по словам сотрудника Государственного департамента.
Discussion
AI Experts & Community
Be the first to comment