Hakerski atak na repozytoria Toptal w serwisie GitHub umożliwia dystrybucję malware przez Node Package Manager

Liczba cyberataków na projekty open source i narzędzia programistyczne stale rośnie. Coraz częściej celem są także renomowane firmy, a skutki takich incydentów mogą być poważne. Jedno z ostatnich wydarzeń pokazuje, że nawet dobrze znane organizacje muszą szczególnie dbać o zabezpieczenia swoich repozytoriów i kont. W newsie omawiamy przypadek, który jest ostrzeżeniem dla całej branży tworzenia oprogramowania.

Atak na Toptal pokazuje ewolucję technik wykorzystywanych przez przestępców, którzy coraz częściej celują w legalne konta organizacyjne, by dystrybuować złośliwy kod - stwierdziła firma Socket, która zajmuje się bezpieczeństwem łańcucha dostaw.

Nowe luki w SharePoint Server. Microsoft potwierdza ataki chińskich grup i zaleca natychmiastową instalację poprawek

Socket, firma zajmująca się bezpieczeństwem, odkryła poważny atak na łańcuch dostaw oprogramowania. Przestępcy przejęli kontrolę nad organizacją GitHub firmy Toptal, będącej globalną siecią talentów, która obsługuje ponad 25 000 klientów w ponad 14 krajach. W wyniku ataku aż 73 repozytoria zostały upublicznione, a hakerzy opublikowali co najmniej 10 złośliwych pakietów w rejestrze Node Package Manager (NPM). Zainfekowane pakiety zawierały groźny kod, który wykradał tokeny uwierzytelniające GitHub i próbował usunąć wszystkie pliki z systemów ofiar. Złośliwy kod został umieszczony w popularnych pakietach takich jak @toptal/picasso-tailwind, @toptal/picasso-charts i @toptal/picasso-provider. Te komponenty są częścią systemu projektowego Picasso używanego przez programistów na całym świecie. Zainfekowane pakiety zostały pobrane około 5000 razy, zanim zostały wykryte i usunięte. Atak wykorzystywał tzw. "NPM lifecycle hooks", czyli skrypty uruchamiane automatycznie podczas instalacji pakietu. Złośliwe polecenia wykonywały dwa niebezpieczne działania. Wykradały tokeny uwierzytelniające GitHub ofiary i wysyłały je do serwera kontrolowanego przez atakującego, a następnie próbowały usunąć cały system plików na komputerze użytkownika za pomocą poleceń "sudo rm -rf --no-preserve-root /" na systemach Unix i "rm /s /q" na Windows.

Their Picasso repo is basically wiped. The event log linked in my previous reply shows that a lot of their repos went public. Something terrible happened ☹️ pic.twitter.com/TL2raFLjRM

— Adnan Khan (@adnanthekhan) July 21, 2025

Cyberprzestępcy używają fałszywych kont GitHub do hostowania złośliwego oprogramowania Amadey i steganografii do phishingu

Socket poinformował również o innych poważnych atakach na łańcuch dostaw w ostatnim tygodniu. Cztery złośliwe pakiety, trzy w NPM i jeden w PyPI, zostały pobrane ponad 56 000 razy. Zawierały one oprogramowanie szpiegujące, które umożliwiało rejestrację klawiszy, przechwytywanie ekranu, zbieranie informacji o systemie, dostęp do kamery internetowej i kradzież danych uwierzytelniających. W kolejnym ataku ktoś przejął konto na platformie NPM i wrzucił do niej trzy pakiety zawierające złośliwy kod. Stało się tak, ponieważ napastnik zdobył dane logowania jednego z programistów, wysyłając mu fałszywą stronę o nazwie "npnjs.com", która wyglądała prawie tak samo jak prawdziwa "npmjs.com". Przejęty został również popularny pakiet NPM o nazwie 'is', który jest pobierany około 2,8 mln razy tygodniowo. To pokazuje, jak groźne są ataki na łańcuch dostaw. Jeśli zostanie przejęty jeden popularny pakiet, złośliwy kod może trafić nawet do milionów komputerów.

Miliard dolarów na cyberszpiegostwo kosztem obrony. Trump radykalnie zmienia strategię cyberbezpieczeństwa USA

Jak chronić się przed podobnymi atakami? Eksperci zalecają wiele środków zapobiegawczych. Są to m.in.:

• włączenie uwierzytelniania dwuskładnikowego,
• wdrożenie reguł ochrony gałęzi w repozytoriach,
• monitorowanie zmian widoczności repozytoriów,
• przeglądanie skryptów cyklu życia w plikach package.json przed instalacją zależności,
• używanie automatycznego skanowania bezpieczeństwa w potokach CI/CD,
• regularne rotowanie tokenów uwierzytelniających.

Warto również korzystać z narzędzi takich jak Socket, które zapewniają kompleksową ochronę przed atakami na łańcuch dostaw. Aplikacja Socket GitHub automatycznie skanuje żądania pull, aby wychwycić złośliwe pakiety, zanim trafią do kodu. Narzędzie Socket CLI wykrywa niebezpieczne zależności podczas instalacji, a rozszerzenie Socket do przeglądarki ostrzega programistów o podejrzanych pakietach podczas ich wyboru. Ataki na łańcuch dostaw oprogramowania nie są niczym nowym.  W 2025 roku Socket raportował o wielu kampaniach wykorzystujących złośliwe pakiety w PyPI, NPM i Ruby Gems. W maju odnotowano ataki na biblioteki związane z Telegramem po wprowadzeniu zakazu korzystania z tej aplikacji w Wietnamie. Odkryto również pakiety NPM, które kradły fundusze z portfeli kryptowalutowych Ethereum i BSC.

Cloudflare zablokowało atak DDoS, który pobił wszystkie rekordy. 7,3 Tbps. To jak przesłanie 9350 filmów HD w 45 sekund

Szczególnie niepokojącym trendem jest wykorzystywanie popularności sztucznej inteligencji do tworzenia złośliwych pakietów. Przykładem są biblioteki podszywające się pod SDK do interakcji z usługami Aliyun AI Labs, które infekują systemy złośliwym kodem ukrytym w modelach PyTorch. Toptal szybko zareagował na incydent, wycofując złośliwe wersje pakietów i przywracając ostatnie stabilne wersje. Ta szybka reakcja prawdopodobnie zapobiegła znacznym dodatkowym szkodom dla społeczności programistów. Przypadek Toptal pokazuje, że nawet znane firmy mogą zostać oszukane przez sprytne metody wyłudzania danych i utracić dostęp do swoich kont. Społeczność programistów musi zachować czujność i wdrażać kompleksowe środki bezpieczeństwa, aby chronić się przed tymi ewoluującymi zagrożeniami.