होम
न्यूज़
विवरण

मिनी शै-हुलुद सप्लाई चेन अटैक, गिटहब और ग्राफाना सुरक्षा घटनाओं से जुड़ा हुआ

iconChaincatcher
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconसारांश

expand icon
भय और लालच सूचकांक में वृद्धि के साथ ही, Mini Shai-Hulud कीड़े से जुड़ा एक आपूर्ति श्रृंखला हमला हुआ, जिसने AntV, Echarts-for-react और durabletask जैसे npm पैकेजों को लक्षित किया। हमलावरों ने 'atool' खाते को दुरुपयोग किया और 22 मिनट में 637 दुष्ट संस्करण प्रकाशित किए। यह उल्लंघन, GitHub टोकन रिसाव और Grafana रैनसमवेयर घटना से जुड़ा हुआ है, जिससे पासवर्ड चोरी, CI/CD का दुरुपयोग और क्षैतिज गतिविधि संभव हो जाती है। सुरक्षा कंपनियाँ पासवर्ड बदलने और निर्भरता जाँच की सलाह दे रही हैं। बढ़ती अस्थिरता के बीच, अल्टकॉइन जिन्हें देखना है, ऐसे खतरों से अतिरिक्त दबाव का सामना कर सकते हैं।

ChainCatcher की सूचना के अनुसार, मैन स्लिम द्वारा प्रकाशित खतरा सूचना के अनुसार, हाल के समय में AntV और Echarts-for-react जैसे कई उच्च-आवृत्ति npm पैकेज और Python SDK durabletask पर Mini Shai-Hulud "मिनी शाइ-हुलुड" सप्लाई चेन हमला हुआ है। npm खाता atool को हैक कर लिया गया, और हमलावर ने 22 मिनट में 637 दुर्भावनापूर्ण संस्करण स्वचालित रूप से प्रकाशित किए, जिसमें 317 पैकेज शामिल हैं। हमलावर ने 35 मिनट में durabletask के संस्करण 1.4.1, 1.4.2 और 1.4.3 को लगातार अपलोड किया, सामान्य प्रकाशन नियंत्रण को बाईपास करते हुए और माइक्रोसॉफ्ट के आधिकारिक प्रकाशन का नकल करते हुए। GitHub token की व्यापक रूप से लीक होने की घटना और Grafana Labs पर लैंसमेंट हमला संभवतः इस सप्लाई चेन हमले से संबंधित है। प्रभावित घटकों में npm पारिस्थितिकी तंत्र के AntV, Echarts-for-react जैसे उच्च-आवृत्ति घटक, और Python पैकेज durabletask 1.4.1, 1.4.2 और 1.4.3 शामिल हैं। हमलावर क्लाउड और स्थानीय प्रमाणीकरण डेटा चुरा सकता है, आंतरिक रिपोजिटरी और संवेदनशील क्लाउड बुनियादी ढांचे तक अनधिकृत पहुंच प्राप्त कर सकता है, डेवलपर मशीनों और CI/CD पाइपलाइन में क्षैतिज गति कर सकता है, लीक हुए GitHub token को बेच सकता है और उपयोग कर सकता है, और लैंसमेंट और डेटा प्रगल्प के खतरे का प्रयोग कर सकता है। मैन स्लिम सुझाव देता है कि सभी प्रकट प्रमाणीकरण को तुरंत बदलें, प्रभावित पैकेज को प्रतिस्थापित करें, संभवतः संक्रमित प्रणालियों को क्रमबद्ध करें, और कठोर निर्भरता समीक्षा नीति लागू करें। पहले की सूचना के अनुसार, "मिनी शाइ-हुलुड" कीड़ा हाल ही में ओपन-सोर्स कोडबेस में व्यापक संक्रमण पूरा कर चुका है, इसलिए डेवलपर्स को जांच करने की सलाह दी जाती है।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।