Злісні SDK-пакети на npm та PyPI: Небезпека для розробників
На популярних платформах npm та PyPI були виявлені злісні SDK, які крадуть облікові дані розробників та змінні середовища CI/CD. За даними Socket, їхня інфраструктура сканування виявила 17 таких пакетів, розміщених у регістрах npm та Python Package Index 7 липня 2026 року. Ці пакети атакують інженерні команди, що інтегрують платіжні системи PaySafe, Skrill та Neteller. Під виглядом звичайних клієнтів REST, вони збирають дані середовища і передають їх на зовнішні сервери. Це створює серйозні фінансові ризики, оскільки зловмисники можуть обійти стандартну периметральну безпеку, вбудовуючи шкідливий код у залежності. Це загрожує Node.js та Python розробникам різними способами розгортання та виконання.
Вразливості сучасних CI/CD-пайплайнів
Проблема стає ще серйознішою через те, що завантаження певних шкідливих пакетів автоматично запускає їх виконання в привілейованих системних межах. Це не тільки розкриває чутливу інформацію, таку як токени аутентифікації та ключі доступу до облака, але й дозволяє зловмисникам пересуватися системою. Після компрометації CI-раннерів, вони отримують доступ до розширених IAM дозволів. Експерти рекомендують командам впроваджувати жорстке зв’язування залежностей і використовувати приватні реєстри пакетів, щоб уникнути небезпеки.
Захист від атак через складну інфраструктуру
Зловмисники використовують складні методи кодування для приховування своєї інфраструктури, пов’язаної з попередніми командними і контрольними (C2) операціями. Захисні команди повинні уважно стежити за вихідним трафіком на предмет підключень до відомих скомпрометованих доменів. Хоча фіксована C2 інфраструктура дає змогу захисту, підкреслюється необхідність у пильному управлінні залежностями та використанні інструментів аналізу складу програмного забезпечення у середовищі розробки.



