الصفحة الرئيسية
الأخبار
التفاصيل

هجوم على سلسلة توريد Mini Shai-Hulud مرتبط بحوادث أمنية على GitHub وGrafana

iconChaincatcher
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
ارتفع مؤشر الخوف والطمع، وتوافق ذلك مع هجوم على سلسلة التوريد مرتبط بديدان Mini Shai-Hulud، والذي يستهدف حزم npm مثل AntV و Echarts-for-react و durabletask. قام المهاجمون باختراق حساب 'atool' ونشر 637 نسخة خبيثة خلال 22 دقيقة. يرتبط هذا الاختراق بتسريبات رموز GitHub وحادثة برنامج الفدية Grafana، ويسمح بسرقة بيانات الاعتماد واستغلال CI/CD والحركة الجانبية. وحثت شركات الأمن على تغيير كلمات المرور والتحقق من التبعيات. وسط تزايد التقلبات، قد تواجه العملات البديلة التي يجب مراقبتها ضغوطًا إضافية بسبب هذه التهديدات.

تشين كاتشر: وفقًا لبيانات التهديدات التي نشرتها مان وو، تعرضت مؤخرًا عدة حزم npm عالية التردد، بما في ذلك AntV و Echarts-for-react و Python SDK durabletask، لهجوم سلسلة التوريد من قبل "ميني شاي-هولود". تم اختراق حساب npm atool، وأطلق المهاجمون تلقائيًا 637 إصدارًا ضارًا خلال 22 دقيقة، مما أثر على 317 حزمة. كما قام المهاجمون بتحميل إصدارات durabletask 1.4.1 و 1.4.2 و 1.4.3 بشكل متتال خلال 35 دقيقة، مما مكنهم من تجاوز ضوابط النشر العادية والادعاء بأنها إصدارات رسمية من مايكروسوفت. من المرجح أن تكون هذه الهجمات على سلسلة التوريد مرتبطة بحادث تسريب كبير لـ GitHub tokens وهجوم فدية استهدف Grafana Labs. تشمل المكونات المتأثرة الحزم عالية التردد في نظام npm مثل AntV و Echarts-for-react، بالإضافة إلى حزم Python durabletask الإصدارات 1.4.1 و 1.4.2 و 1.4.3. يمكن للمهاجمين سرقة بيانات الاعتماد السحابية والمحلية، والوصول غير المصرح به إلى المستودعات الداخلية والبنية التحتية السحابية الحساسة، والتحرك الأفقي نحو أجهزة المطورين وقنوات CI/CD، وبيع واستغلال tokens GitHub المسربة، وتنفيذ تهديدات الفدية وتسريب البيانات. تنصح مان وو بتبديل جميع بيانات الاعتماد المكشوفة فورًا، واستبدال الحزم المتأثرة، وعزل الأنظمة التي قد تكون مصابة، وتطبيق سياسات صارمة لمراجعة التبعيات. ووفقًا لأخبار سابقة، أكمل دودة "ميني شاي-هولود" مؤخرًا انتشارًا واسع النطاق في مستودعات الكود المفتوح، ويجب على المطورين الانتباه إلى التحقق من وجود أي تأثير.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.