npm Profissões Tech & Mercado Security Jayson DeLancey setembro 8, 2025 0 Comentários

Protegendo -se de ataques de phishing de lança, como o que segmentou os mantenedores de NPM com a atualização 2FA

Se você é um mantenedor de software usado por outras pessoas, pode não ser um alvo como jornalistas ou funcionários do governo, mas um alvo. Hoje, um mantenedor foi vítima de algo que poderia ter impactado qualquer engenheiro de software sobrecarregado, uma mensagem que era uma campanha de phishing de lança bem disfarçada. Veja: Alerta de segurança | Chalk, depuração e cor no NPM comprometidos em novos ataques da cadeia de suprimentos Este é um lembrete de que, se você implanta bibliotecas no NPM, PYPI, Cargo e muito mais para se manter vigilante. Phishing Spear Phishing é uma versão mais direcionada do phishing, que é o que a torna tão eficaz. Em vez de um e-mail aleatório explodir para milhares de estudantes universitários, pais que ficam em casa e profissionais ocupados-é adaptado para atingir e enganá-lo especificamente. Os mantenedores de pacotes em um repositório não são mantidos em segredo. Eles geralmente estão compartilhando seu trabalho para o benefício da comunidade em geral. Isso significa que um invasor pode descobrir nomes, informações de contato e natureza do trabalho de pacotes populares sem muito esforço. A mensagem que eles enviam não é “conhecer singles em sua área”, é mais como “Atualize suas configurações de segurança antes de perder o acesso”. Essa pequena diferença é por que as pessoas se apaixonam por isso, porque é apropriado e desperta um senso de urgência. O que torna isso perigoso para mantenedores de código aberto é que a confiança se estende além do indivíduo. Se sua conta estiver comprometida, o invasor potencialmente ganha acesso para publicar novas versões do seu pacote. Quaisquer consumidores a jusante, sistemas de CI/CD ou até empresas podem, sem saber, instalar malware. Uma conta de mantenedora rachada pode em cascata em um incidente na cadeia de suprimentos, como vimos hoje. Aviso de segurança: a atualização de autenticação de dois fatores exigia uma mensagem de aparência oficial foi enviada aos mantenedores de pacotes hospedados no NPMJS.com de que eles estavam atrasados para uma atualização de dois fatores. The message came from a domain that closely resembled the official NPM registry: Date: Mon, 08 Sep 2025 00:30:21 +0000 From: npm Subject: Two-Factor Authentication Update Required Enter fullscreen mode Exit fullscreen mode It was free of typos and other errors typically found in spam messages: As part of our ongoing commitment to account security, we are requesting that all users update their Two-Factor Authentication (2FA) credenciais. Nossos registros indicam que já se passaram mais de 12 meses desde a sua última atualização 2FA. Para manter a segurança e a integridade da sua conta, pedimos gentilmente que você conclua esta atualização o mais rápido possível. Observe que as contas com credenciais 2FA desatualizadas serão bloqueadas temporariamente a partir de 10 de setembro de 2025, para impedir o acesso não autorizado.

[Update 2FA Now]

Se você tiver alguma dúvida ou precisar de assistência, nossa equipe de suporte estará disponível para ajudar. Você pode entrar em contato conosco através deste link. Digite o modo de tela completa Sair do modo de tela cheia Spotting Spotings Red Sinalizadores Em e -mails de phishing Muitas grandes empresas têm treinamento obrigatório anual sobre como identificar questões como essa. Isso não significa que todo mantenedor faça. O domínio parece que o domínio npmjs.help foi escolhido porque parece que o npmjs.com e os invasores costumam comprar domínios ou TLDs semelhantes. Chamado urgente à ação por algo como uma redefinição 2FA, é provável que você tenha sido notificado várias vezes. Se você ignorou os avisos anteriores, talvez seja hora de ler mais de perto, mas se for a primeira vez que você viu uma mensagem para redefinir sua senha ou credenciais, há motivos para suspeitar. Links atrás dos botões Verifique se você confia em qualquer URL para o qual um link ou botão o levará. Se você desativar imagens exibidas de remetentes desconhecidos ou, mais estoicamente, leia apenas o texto em vez de emails HTML, você já poderá ter uma vantagem para inspeção. Pensamentos finais Eu tenho simpatia por qualquer pessoa que esteja comprometida com uma campanha coordenada como essa. Foi executado muito bem a partir de uma perspectiva de engenharia social, mesmo que o malware fosse ineficaz, o maior ataque da cadeia de suprimentos roubado 5 centavos, pode acontecer com qualquer mantenedor.

Fonte