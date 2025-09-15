Root.cz  »  Bezpečnost  »  Postřehy z bezpečnosti: masivní kompromitace balíčků npm

Postřehy z bezpečnosti: masivní kompromitace balíčků npm

Jan Kopřiva
Dnes
V tomto díle Postřehů se společně podíváme na masivní útok na ekosystém balíčků npm, kritiku Microsoftu za nedostatečnou úroveň bezpečnosti v produktech nebo nový bezpečnostní mechanismus v iOS.

Masivní útok na populární balíčky npm

Velkou pozornost bezpečnostní komunity si v uplynulém týdnu vysloužily informace o rozsáhlém útoku na softwarový dodavatelský řetězec s pomocí kompromitace řady populárních balíčků npm.

Dle dostupných informací se útočníkům podařilo kompromitovat účty několika správců významných balíčků prostřednictvím phishingových zpráv, které odkazovaly na podvodný portál na doméně npjms.help (oficiální doména užívaná správcem balíčků je npmjs.com).

S pomocí přihlašovacích údajů získaných díky výše zmíněnému portálu následně škodliví aktéři publikovali upravené verze celé řady balíčků, do nichž byl doplněn škodlivý kód. Ten byl určen k monitoringu kryptoměnových adres a k modifikaci kryptoměnových transakcí v aplikacích, které výše zmíněné balíčky využívají, s cílem zajistit převod finančních prostředků na peněženky útočníků.

Mezi postiženými byly mj. balíčky debug, chalk, color-string nebo supports-color, jejichž souhrnný počet stažení dosahuje dle publikovaných informací více než dvou miliard týdně. 

Přestože výše uvedený útok se řadí mezi vůbec nejrozsáhlejší dosavadní kompromitace ekosystému npm, díky rychlém odstranění škodlivých verzí postižených balíčků získali útočníci v jeho důsledku v součtu údajně pouze částku v řádu tisíce dolarů.

Microsoft kritizován zástupcem amerického senátu

Americký senátor Ron Wyden v uplynulém týdnu ostře kritizoval společnost Microsoft za údajné „hrubé zanedbání“ problematiky kybernetické bezpečnosti. Dle dopisu, který senátor zaslal federální obchodní komisi (FTC), mají produkty jmenované firmy zásadní podíl na opakovaných bezpečnostních incidentech, které v posledních letech zasáhly kritické instituce v USA.

V dopise se rovněž uvádí, že kombinace dominantního postavení Microsoftu na trhu podnikových operačních systémů a přetrvávajících problémů v oblasti zabezpečení, například pokračující podpora pro kryptografický algoritmus RC4, představují riziko pro národní bezpečnost. 

Je otázkou, jak FTC na zaslaný dopis zareaguje – v době přípravy tohoto článku se k jeho obsahu prozatím jmenovaná organizace oficiálně nevyjádřila.

Apple představil nový mechanismus pro ochranu paměti v iOS

Společnost Apple v uplynulém týdnu oznámila implementaci nové bezpečnostní funkcionality s názvem Memory Integrity Enforcement (MIE) do operačního systému iOS.

Podle zveřejněné technické dokumentace je jmenovaný bezpečnostní mechanismus založen na rozšířeném ověřování přístupu k paměti a má zabránit útočníkům v obcházení již zavedených bezpečnostních opatření, jako jsou Pointer Authentication Codes nebo Memory Tagging Extension.

Apple uvedl, že nová funkce byla vyvinuta primárně s ohledem na hrozby spojené s komerčním spywarem a dalšími vysoce cílenými útoky, a měla by být dostupná na iPhone 17 a iPhone Air a na dalších zařízeních s čipy řady A19.

Bývalý vedoucí bezpečnosti WhatsAppu podal žalobu na společnost Meta

Bývalý šéf bezpečnosti WhatsApp, Attaullah Baig, podal žalobu proti společnosti Meta v níž uvádí, že firma dlouhodobě ignoruje bezpečnostní rizika s dopadem na uživatele jmenované platformy. Baig mj. tvrdí, že zaměstnanci WhatsAppu a Meta mají přístup k citlivým uživatelským datům včetně profilových obrázků, kontaktů, členství ve skupinách nebo údajů o poloze zařízení, nebo že WhatsApp nedostatečně reagoval na každodenní kompromitaci více než 100 000 uživatelských účtů.

V souvislosti s pokusy o eskalaci upozornění na tyto problémy i nad úroveň svých přímých nadřízených měl být Baig dle svých slov nakonec propuštěn.

Společnost Meta uvedená nařčení odmítla s tím, že Baigovo tvrzení překrucuje dění v organizaci a že jeho propuštění ve skutečnosti souviselo s nízkým hodnocením jeho pracovních výkonů.

ESET informoval o ransomwaru HybridPetya schopném obcházet Secure Boot

ESET v pátek publikoval prohlášení, v němž informoval o identifikaci vzorků ransomwaru, který sdílí určité prvky s nechvalně známými historickými rodinami škodlivého kódu Petya a NotPetya. Nově identifikovaný ransomware nazvali výzkumníci společnosti ESET „HybridPetya“.

Nalezené vzorky byly nahrány na portál VirusTotal z Polska v průběhu února 2025 a dle publikovaných informací se zdá, že jsou potenciálně schopné kompromitovat moderní UEFI systémy instalací škodlivé EFI aplikace do EFI System Partition a následně šifrovat Master File Table (MFT) a všechny sektory disků formátovaných s pomocí NTFS.

Jedna z analyzovaných variant ransomwaru navíc dokáže obcházet UEFI Secure Boot s pomocí exploitu pro zranitelnost CVE-2024–7344.

Cyber25 Early

ESET prozatím nezaznamenal žádný výskyt nově objeveného ransomwaru mimo portál VirusTotal a lze se tak domnívat, že identifikované vzorky představují pouze „proof-of-concept“ kód a nikoli finální verze malwaru určeného k aktivnímu použití.

Další zajímavosti

Pro pobavení

My password is just every Unicode codepoint concatenated into a single UTF-8 string.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

