Open-source ekotizim yana jiddiy hujum ostida. Kiberxavfsizlik tadqiqotchilari npm registrida joylashtirilgan 36 ta zararli paketni aniqladi — ular oddiy Strapi plugin’lar sifatida ko‘rsatilgan, lekin aslida to‘liq hujum vositasi bo‘lib chiqqan.
Bu paketlar tashqi ko‘rinishda juda ishonchli ko‘rinadi. Ular “strapi-plugin-” nomi bilan boshlanadi va cron, database yoki server kabi odatiy nomlardan foydalanadi. Eng qiziq tomoni — ularning barchasi bitta versiya raqami bilan chiqarilgan va hech qanday tavsif yoki repository ma’lumotiga ega emas.
👉 ya’ni ular faqat bitta maqsad uchun yaratilgan — aldash
Hujum mexanizmi esa juda oddiy, lekin juda xavfli.
Foydalanuvchi paketni o‘rnatishi bilan (npm install) ichidagi yashirin postinstall skript ishga tushadi. Hech qanday ogohlantirishsiz.
Va aynan shu yerda hammasi boshlanadi.
Skript tizimda foydalanuvchi huquqlari bilan ishlaydi. Agar bu CI/CD pipeline yoki Docker konteyner bo‘lsa — u holda hujumchi deyarli to‘liq nazoratga ega bo‘ladi.
Keyin esa zararli kod bir necha bosqichda harakat qiladi:
— Redis orqali tizimga kirish
— cron orqali doimiy ishlaydigan script joylash
— reverse shell ochish
— server ichidagi maxfiy ma’lumotlarni qidirish
Bu jarayon fon rejimida, deyarli sezilmasdan ishlaydi.
Eng xavflisi — bu hujum faqat bitta bosqich bilan tugamaydi.
Tizim ichida quyidagi ma’lumotlar faol ravishda yig‘iladi:
environment variable’lar
PostgreSQL ulanish ma’lumotlari
Docker va Kubernetes secret’lari
kriptovalyuta wallet fayllari
API kalitlar va tokenlar
Hatto ayrim holatlarda hujumchilar oldindan mavjud credential’lardan foydalanib, to‘g‘ridan-to‘g‘ri database’ga ulanib, ma’lumotlarni chiqarib ketgan.
Tadqiqotchilar hujum evolyutsiyasini ham kuzatgan.
Avval agressiv usullar ishlatilgan:
— Redis orqali RCE
— Docker’dan chiqish
Keyinchalik esa hujumchilar strategiyani o‘zgartirgan:
ko‘proq ma’lumot yig‘ish
credential’larni o‘g‘irlash
tizimda doimiy kirishni saqlab qolish
Eng oxirgi bosqich esa eng xavflisi:
👉 tizimga “persistent implant” o‘rnatiladi
Bu degani — hatto siz zararli paketni o‘chirgan bo‘lsangiz ham, hujumchi tizimga qayta kira oladi.
Bu hujumning yana bir xavfli tomoni — u aniq maqsadga qaratilgan bo‘lishi mumkin.
Tahlillarga ko‘ra, hujumchilar:
— kriptovalyuta bilan bog‘liq ma’lumotlarni izlagan
— ma’lum host nomlarini nishonga olgan
— oldindan ma’lumotlarga ega bo‘lishi mumkin
👉 bu oddiy “random hack” emas, balki ehtimol targeted attack
Bu holat bilan bir vaqtda yana bir nechta supply chain hujumlar ham aniqlangan:
— GitHub’da 250+ zararli pull request
— mashhur paketlar orqali credential o‘g‘irlash
— VS Code extension’lar orqali backdoor o‘rnatish
— PyPI va npm’da typosquatting hujumlar
Mutaxassislar ochiq aytmoqda:
👉 “Software supply chain hujumlari hozirgi kiberxavfning eng katta yo‘nalishiga aylandi”
Agar siz ushbu paketlardan birortasini o‘rnatgan bo‘lsangiz:
👉 tizim allaqachon buzilgan deb hisoblang
Darhol:
— barcha parollarni o‘zgartiring
— API va access tokenlarni yangilang
— serverni to‘liq tekshiring
Bu voqea yana bir narsani ko‘rsatdi:
developerlar uchun eng katta xavf endi kod yozishda emas, balki qaysi paketni o‘rnatishda
