ME News melaporkan, pada 17 Jun (UTC+8), menurut pemantauan SlowMist, serangan rantai pasokan terkoordinasi sedang berlaku terhadap lebih daripada 140 pakej npm. Pakej yang terjejas secara automatik menambahkan kebergantungan kepada easy-day-js@^1.11.21, yang akan menyelesaikan secara automatik kepada versi jahat easy-day-js@1.11.22, dan memicu kod yang dikawal penyerang melalui hook semasa pemasangan. Perilaku penyerang yang berpotensi termasuk: menjalankan kod semasa pemasangan, mengekalkan persistensi di Windows/macOS/Linux, mengumpul sejarah pelayar, mendata ekstensi dompet kripto, mendedahkan kredensial atau kunci CI melalui tindakan susulan, serta kebocoran data. Bagi mana-mana sistem yang telah memasang versi yang terjejas, anggap ia dalam keadaan berpotensi diserang: buang versi jahat dan easy-day-js, hapuskan node_modules dan cache pakej, pasang semula versi yang diketahui bersih (menggunakan fail kunci yang telah disahkan), isolasi hos yang terjejas, simpan log, buang jejak persistensi, dan ganti kredensial npm, GitHub, perkhidmatan awan, SSH/Git, CI/CD, serta yang berkaitan dompet sekiranya terdedah. (Sumber: Foresight News)
Lebih daripada 140 Pakej Mastra npm Diserang dalam Serangan Rantaian Pemasok
KuCoinFlashKongsi
Ringkasan
Lebih daripada 140 pakej Mastra npm telah diserang dalam serangan rantai bekalan, menurut MetaEra dan SlowMist. easy-day-js@1.11.22 yang jahat menyuntikkan dirinya sebagai kebergantungan, membolehkan eksekusi kod dan pencurian data. Penyerang boleh mengakses data di rantai, mencuri sejarah pelayar, dan mengesan dompet kripto. Sistem yang menggunakan versi yang terjejas harus menghapus pakej tersebut, membersihkan node_modules dan cache, memasang semula versi yang disahkan, mengasingkan hos, dan mengganti kredensial. Skenario serangan 51% adalah tidak mungkin tetapi boleh berlaku jika kredensial atau kunci CI terdedah. Log harus dikekalkan untuk penyiasatan.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.