Notícia da ME, 17 de junho (UTC+8): De acordo com monitoramento da SlowMist, está ocorrendo um ataque coordenado à cadeia de suprimentos contra mais de 140 pacotes npm. Os pacotes afetados adicionam automaticamente uma dependência de easy-day-js@^1.11.21 durante a instalação, que é resolvida automaticamente para a versão maliciosa easy-day-js@1.11.22, desencadeando código controlado pelo atacante por meio de ganchos durante a instalação. As ações potenciais do atacante incluem: executar código durante a instalação, manter persistência em Windows/macOS/Linux, coletar histórico de navegadores, inventariar extensões de carteiras de criptomoedas, expor credenciais ou chaves CI por meio de operações subsequentes e vazamento de dados. Para qualquer sistema que tenha instalado as versões afetadas, considere-o como potencialmente comprometido: remova a versão maliciosa e o easy-day-js, exclua node_modules e o cache dos pacotes, reinstale versões conhecidas como limpas (usando arquivos de bloqueio verificados), isole os hosts afetados, mantenha logs, remova traços de persistência e altere credenciais relacionadas a npm, GitHub, serviços em nuvem, SSH/Git, CI/CD e carteiras, caso tenham sido expostas. (Fonte: Foresight News)
Mais de 140 pacotes Mastra npm alvejados em ataque à cadeia de suprimentos
KuCoinFlashCompartilhar
Resumo
Mais de 140 pacotes npm da Mastra foram atingidos em um ataque à cadeia de suprimentos, segundo MetaEra e SlowMist. O pacote malicioso easy-day-js@1.11.22 se injeta como dependência, permitindo execução de código e roubo de dados. Os atacantes podem acessar dados on-chain, roubar o histórico do navegador e detectar carteiras de cripto. Sistemas que utilizam as versões afetadas devem remover o pacote, limpar node_modules e caches, reinstalar versões verificadas, isolar hosts e rotacionar credenciais. Um cenário de ataque de 51% é improvável, mas possível se credenciais ou chaves de CI forem expostas. Logs devem ser preservados para investigação.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.