Киберпреступники получили несанкционированный доступ к GitHub-организации компании Toptal, глобальной сети по подбору IT-специалистов, и опубликовали несколько вредоносных npm-пакетов. Эксперты Socket обнаружили, что злоумышленники разместили 73 репозитория, 10 из которых содержали код, предназначенный для кражи токенов аутентификации GitHub и попыток полного уничтожения данных на зараженных системах.
Описание
Toptal, работающая с 2010 года и обслуживающая более 25 000 клиентов в 14 странах, поддерживает систему проектирования Picasso, используемую разработчиками по всему миру. Среди скомпрометированных пакетов оказались @toptal/picasso-tailwind, @toptal/picasso-charts, @toptal/picasso-shared и другие. Вредоносный код был внедрен в файлы package.json, а общее число загрузок до удаления составило около 5000.
Анализ кода показал, что атака проводилась в два этапа. Сначала скрипт preinstall извлекал токен аутентификации GitHub с помощью команды gh auth token и отправлял его на внешний сервер, контролируемый злоумышленниками. Это позволяло получить доступ к репозиториям жертвы для дальнейших атак. На втором этапе выполнялась команда sudo rm -rf --no-preserve-root /, предназначенная для удаления всей файловой системы на Unix-системах. Для Windows использовался аналогичный по функциональности скрипт rm /s /q.
Точный вектор первоначальной атаки пока остается неясным. Эксперты рассматривают несколько возможных сценариев:
- фишинговая кампания, направленная на разработчиков npm;
- инсайдерская угроза со стороны сотрудника Toptal;
- утечка учетных данных через взлом или социальную инженерию;
- целенаправленная атака на цепочку поставок.
Особенностью инцидента стало массовое изменение репозиториев в течение 5 минут 20 июля 2025 года. Подобные действия характерны для скоординированных атак, когда злоумышленники стремятся максимально быстро распространить вредоносный код до обнаружения.
Toptal оперативно отреагировала на инцидент, отозвав вредоносные версии пакетов и восстановив последние стабильные сборки. Это минимизировало потенциальный ущерб для сообщества разработчиков. Однако компания пока не предоставила официальных комментариев относительно деталей инцидента.
Этот случай демонстрирует растущую сложность атак на цепочки поставок, где злоумышленники все чаще взламывают аккаунты организаций для распространения вредоносного кода. Подобные инциденты требуют повышенного внимания к безопасности учетных записей, мониторингу репозиториев на предмет подозрительных изменений и внедрению автоматизированных систем анализа зависимостей.
Эксперты также отмечают, что традиционные меры защиты, такие как двухфакторная аутентификация или фильтрация исходящего трафика, остаются критически важными, но их может быть недостаточно против современных угроз. Особую опасность представляют атаки, сочетающие кражу учетных данных с разрушительными функциями, поскольку они могут нанести значительный ущерб как инфраструктуре компаний, так и персональным устройствам разработчиков.
В контексте растущего числа подобных инцидентов организации должны пересматривать свои подходы к защите исходного кода и зависимостей, внедряя превентивные технологии, способные выявлять скрытые угрозы на ранних этапах. Однако даже самые современные системы не исключают необходимости постоянного обучения сотрудников основам кибербезопасности и актуальным методам социальной инженерии.
Индикаторы компрометации
URLs
- webhook.site/fb5b4647-aff8-418c-99e7-ec830cc2024b
Malicious Packages
- @toptal/picasso-charts (v59.1.4)
- @toptal/picasso-forms (v73.3.2)
- @toptal/picasso-provider (v5.1.1)
- @toptal/picasso-quote (v2.1.7)
- @toptal/picasso-select (v4.2.2)
- @toptal/picasso-shared (v15.1.0)
- @toptal/picasso-tailwind (v3.1.0)
- @toptal/picasso-typography (v4.1.4)
- @toptal/picasso-utils (v3.2.0)
- @xene/core (v0.4.1)
