Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 4T SIDEN · sikkerhet

Nordkoreanske npm-pakker etterligner Rollup-polyfills for å stjele utviklerhemmeligheter

SYNOPSIS_GENERERT

To npm-pakker som utgir seg for å være Rollup-polyfills stjeler hemmeligheter rett fra utvikleres maskiner. «rollup-packages-polyfill-core» og «rollup-runtime-polyfill-core» kopierer den legitime «rollup-plugin-polyfill-node» helt ned til beskrivelse og repo-metadata, og er del av en kampanje knyttet til nordkoreanske Contagious Interview.

Navnevalget er hele poenget. Pakkene legger seg i samme «rollup», «polyfill», «core» og «node»-navnerom som ekte plugins, og ser plausible ut i en rask gjennomgang av avhengigheter. Bak dem ligger skadevaren BeaverTail og OtterCookie, knyttet til den nordkoreanske Contagious Interview-kampanjen.

Det pakkene er ute etter treffer spesielt folk som bygger med KI-verktøy. Innsamleren leter etter editor-historikk fra VS Code, Windsurf og Cursor, og etter konfigurasjon for blant annet AWS, Azure, Google Gemini, Anthropic Claude, Foundry, SSH og Zsh. Rollup-plugins lastes typisk fra lokale konfigfiler, utviklermaskiner og CI-jobber, miljøer som ofte har tilgang til kildekode, npm-tokens, Git-legitimasjon, skynøkler og prosjekthemmeligheter.

Praktisk forsvar: les pakkenavn nøye før du legger dem til, og vær ekstra skeptisk til plugins med «polyfill» og «core» stablet oppå hverandre i navnet. Lås avhengigheter med lockfile, kjør installasjon med --ignore-scripts der du kan, og hold API-nøklene til KI-verktøyene utenfor klartekst-konfigfiler i repoet.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN