Kártékony JavaScript csomagok
A Sonatype Security Research egy folyamatban lévő kampányt kazonosított, amely npm-csomagokat használ a Kubernetes-konfiguráció és az SSH-kulcsokat lop. A kampány kezdete óta a támadók 45 csomagot töltöttek fel az npm-re (40) és a PyPI-re (5), amelyek változatai a kódban a támadás gyors fejlődését jelzik.
A kutatók szerint legalább hét különböző támadási hullám és több fázis tartalmazott kódmódosításokat a lopakodó képesség fokozása és specifikusabb célzás hozzáadása érdekében.
Az első támadási hullámok szeptember 12. és 15. között jelentkeztek, a fenyegetés szereplői naponta töltöttek fel új csomagkészleteket, összesen 33 csomagot. A későbbi támadási hullámok szeptember 18-án (három csomag), szeptember 20-án (öt csomag) és szeptember 24-én (4 csomag) jelentkeztek. A kezdeti hullámokban a csomagok keménykódolt adatgyűjtési és lopási rutinokkal rendelkeztek, amelyek az adatgyűjtési kódot belsőleg egyszerű szöveges formában tartalmazták, ami észlelhetővé tette azokat. A középső iterációk bonyolultabb mechanizmusokat vezettek be, mint például az adatgyűjtő bash szkript lekérése és végrehajtása egy külső tartományból.