CVE-2024-YIKES: JavaScript से Python तक फैला सप्लाई चेन अटैक
मूल शीर्षक: Incident Report: CVE-2024-YIKES
यह क्यों महत्वपूर्ण है
Software supply chain की vulnerability और dependency management के जोखिमों को दर्शाता है।
एक चुराए गए हार्डवेयर 2FA key के कारण JavaScript ecosystem में compromised dependency के जरिए credential theft हुई, जो Rust compression library में supply chain attack का कारण बनी और 4 million developers को प्रभावित करने वाले malware में बदल गई।
घटना की शुरुआत Marcus Chen के apartment से transit pass, laptop और important Kubernetes data चोरी होने से हुई। Chen ने missing 2FA key के कारण phishing site पर nmp credentials डाले। इसके बाद left-justify package (847 million weekly downloads) में postinstall script जोड़ा गया जो .npmrc, .pypirc और अन्य credentials चुराता था। चुराए गए credentials में vulpine-lz4 Rust library के maintainer के credentials भी थे। इस library में malicious build.rs script जोड़ा गया जो CI environments में shell script download करता था। अंततः snekpack Python build tool के जरिए 60% PyPI packages में malware फैल गया। Security researcher Karen Oyelaran ने इसे detect किया लेकिन maintainer €2.3 million lottery जीतकर Portugal में goat farming research कर रहा था। अंत में एक unrelated cryptocurrency mining worm ने accidentally इस attack को patch कर दिया।