npm: Уязвимость Sigstore из-за кражи аккаунтов
Злоумышленники обошли защиту npm Sigstore, используя украденные аккаунты разработчиков. Было выпущено 633 вредоносных пакета с действительными сертификатами.
19 мая обнаружен инцидент, когда 633 версии вредоносных пакетов npm прошли проверку Sigstore. Атака произошла из-за использования злоумышленниками действительных сертификатов, полученных через скомпрометированные аккаунты разработчиков.
Система Sigstore сработала по своему прямому назначению: она подтвердила, что пакеты были собраны в доверенной среде CI/CD. Однако проблема заключалась в том, что валидные сертификаты были сгенерированы после взлома аккаунтов самих разработчиков.
Этот случай показывает, что даже передовые методы обеспечения цепочки поставок, такие как Sigstore, уязвимы, если под угрозой оказываются учётные данные ключевых участников процесса. Ситуация подчёркивает важность многофакторной аутентификации и строгого контроля доступа для всех, кто публикует код.