Badacze z Upwind Security odkryli skoordynowany atak na proces wydań pakietów AsyncAPI udostępnianych w npm, gdzie atakujący uzyskali dostęp do systemów odpowiedzialnych za publikowanie oprogramowania. Incydent ujawnia poważną lukę w łańcuchu dostaw open source - przestrzeń, którą programiści tradycyjnie traktują jako wiarygodną i bezpieczną.
Większość deweloperów zakłada, że pakiety dostępne w oficjalnych kanałach dystrybucji już przeszły kontrolę bezpieczeństwa. Założenie to jest fundamentem współczesnego tworzenia oprogramowania, gdzie komponenty open source są rutynowo integrowane do aplikacji poprzez zautomatyzowane zarządzanie zależnościami. Gdy atakujący uzyskują dostęp do infrastruktury wydań, mogą injektować złośliwy kod bezpośrednio do pakietów pobieranych przez miliony projektów.
To odkrycie ma istotne konsekwencje dla ekosystemu npm i podobnych repozytoriów. Zwraca uwagę na potrzebę wzmocnienia bezpieczeństwa procesów wydań, lepszej weryfikacji uprawnień do publikacji oraz implementacji dodatkowych warstw kontroli, aby zapobiec takim atakom w przyszłości.