Xavfsizlik ogohlantirishi: Yana bir mashhur dasturchining NPM akkaunti buzilib, hamyonga o‘g‘irlik qilish uchun zararli dasturiy ta’minot kiritildi

BlockBeats xabariga ko‘ra, 9-sentabr kuni Socket monitoringiga asosan, davom etayotgan NPM ta’minot zanjiri hujumlari taniqli dasturchi Qix’dan yana bir mashhur maintainer’ga tarqaldi. DuckDB bilan bog‘liq paketlar uchun javobgar bo‘lgan NPM akkaunti duckdb_admin buzib kirildi va bir nechta zararli versiyalar chiqarildi. Kiritilgan kod Qix akkaunti buzilganda ishlatilgan hamyon o‘g‘irlaydigan zararli dastur bilan bir xil bo‘lib, bu ikkala holat bir xil hujum harakatining bir qismi ekanini kuchli ko‘rsatadi.

Avval xabar berilganidek, Ledger CTO’si katta miqyosdagi ta’minot zanjiri hujumi sodir bo‘lganini va butun JavaScript ekotizimi xavf ostida bo‘lishi mumkinligini bildirgan edi. Biroq, NPM hujumchilari muvaffaqiyatga erisha olmadi va deyarli hech qanday jabrlanuvchi yo‘q.