Según ME News, el 17 de junio (UTC+8), según el monitoreo de SlowMist, se está llevando a cabo un ataque coordinado a la cadena de suministro contra más de 140 paquetes npm. Los paquetes afectados agregan automáticamente una dependencia de easy-day-js@^1.11.21 durante la instalación, la cual se resuelve automáticamente a la versión maliciosa easy-day-js@1.11.22, activando código controlado por los atacantes mediante un hook durante la instalación. Las acciones potenciales del atacante incluyen: ejecutar código durante la instalación, mantener persistencia en Windows/macOS/Linux, recopilar historial de navegación, detectar extensiones de billeteras criptográficas, exponer credenciales o claves CI mediante operaciones posteriores, y exfiltrar datos. Para cualquier sistema que haya instalado las versiones afectadas, considérelo como potencialmente comprometido: elimine la versión maliciosa y easy-day-js, borre node_modules y la caché del paquete, vuelva a instalar versiones conocidas limpias (utilizando archivos de bloqueo verificados), aísle los hosts afectados, conserve los registros, elimine rastros de persistencia y rote las credenciales relacionadas con npm, GitHub, servicios en la nube, SSH/Git, CI/CD y billeteras, en caso de exposición posible. (Fuente: Foresight News)
Más de 140 paquetes Mastra npm objetivo en un ataque a la cadena de suministro
KuCoinFlashCompartir
Resumen
Más de 140 paquetes npm de Mastra fueron afectados en un ataque a la cadena de suministro, según MetaEra y SlowMist. El paquete malicioso easy-day-js@1.11.22 se inyecta como dependencia, permitiendo la ejecución de código y el robo de datos. Los atacantes pueden acceder a datos en cadena, robar el historial del navegador y detectar monederos de cripto. Los sistemas que usan las versiones afectadas deben eliminar el paquete, borrar node_modules y las cachés, reinstalar versiones verificadas, aislar los hosts y rotar las credenciales. Un escenario de ataque del 51% es poco probable, pero posible si se exponen credenciales o claves de CI. Se deben conservar los registros para la investigación.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.