Hacker News Digest

Злоумышленники эксплуатируют уязвимость в NPM под названием "Remote Dynamic Dependencies", позволяющую пакетам автоматически загружать зависимости с ненадежных доменов. Кампания PhantomRaven с августа разместила 126 вредоносных пакетов, скачанных более 86 000 раз, 80 из которых остаются доступными. Эти пакеты выглядят как "0 зависимостей" для разработчиков и многих сканеров безопасности, что делает их практически невидимыми.

Зависимости загружаются свежие с сервера атакующего каждый раз при установке, что позволяет проводить целевые атаки. Они собирают чувствительные данные: переменные среды, учетные данные GitHub, Jenkins и NPM, а также CI/CD окружения. Процесс exfiltrации данных был "избыточным до паранойи", используя HTTP, JSON и WebSockets. Многие пакеты имеют названия, характерные для "галлюцинаций" ИИ-чатботов.