Halaman Utama
Berita
Butiran

Serangan Rantaian Pemasok npm yang Aktif Menargetkan Paket Perkhidmatan Awan Red Hat, Lebih 300 Repositori GitHub Terjejas

icon MarsBit
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Serangan reentrancy telah dikenal pasti dalam pelanggaran rantaian bekalan npm yang aktif yang menargetkan pakej @redhat-cloud-services. Lebih daripada 31 pakej terjejas, dengan 116,000 muat turun mingguan. Lebih daripada 300 repositori GitHub mengandungi kredensial yang dicuri. Penyerang menggunakan data pada rantai untuk mengotomatiskan kebocoran rahsia dan mencipta repositori jahat. Risiko termasuk pencurian token, kredensial awan, dan paparan kunci SSH. Pembangun sepatutnya mengaudit kebergantungan, memutar semula kunci, dan membina semula sistem yang terjejas. Repositori jahat baharu terus muncul, menunjukkan serangan ini masih berterusan.

Mars Finance melaporkan, pada 2 Jun, SlowMist mengeluarkan amaran keselamatan yang mendeteksi serangan rantai pasokan npm yang aktif, menargetkan pakej berkaitan @redhat-cloud-services. Sehingga kini, 31+ pakej telah disahkan terjejas, dengan jumlah muat turun mingguan sekitar 116,000 kali, dan lebih daripada 300 repositori GitHub mengandungi kredensial yang dicuri. Kaedah serangan ini sangat serupa dengan serangan npm 'Shai-Hulud' sebelum ini, termasuk pencurian kredensial, penciptaan repositori jahat, dan kebocoran rahsia automatik. Repositori mencurigakan baru masih terus muncul, menunjukkan bahawa serangan masih berterusan dan pembangun masih terus terjejas. Potensi kesan termasuk: kredensial GitHub/npm dicuri, kebocoran kredensial awan AWS/GCP/Azure, pengumpulan kunci SSH dan rahsia Kubernetes, kebocoran data persekitaran tempatan dan dompet, penciptaan repositori jahat dan operasi persisten, serta kemungkinan tindakan merosakkan walaupun token telah dicabut. Disarankan untuk segera menghapuskan atau menurunkan versi pakej @redhat-cloud-services yang terjejas, melakukan audit menyeluruh terhadap aliran CI/CD dan pemasangan dependensi, menukar semua kunci berkaitan GitHub, npm, perkhidmatan awan, SSH, dan dompet, menyimpan log, serta membina semula mesin atau Runner pembangun yang terdedah menggunakan imej bersih, sambil tetap berhati-hati.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.