Согласно новостям ME, 17 июня (UTC+8), по данным мониторинга SlowMist, происходит скоординированная атака на цепочку поставок, затрагивающая более 140 пакетов npm. При установке受影响ых пакетов автоматически добавляется зависимость от easy-day-js@^1.11.21, которая автоматически разрешается в вредоносную версию easy-day-js@1.11.22, запускающую код, контролируемый злоумышленником, через хуки при установке. Потенциальные действия злоумышленника включают: выполнение кода при установке, сохранение постоянства на Windows/macOS/Linux, сбор истории браузера, инвентаризацию расширений криптовалютных кошельков, экспозицию учетных данных или CI-ключей через последующие операции, а также утечку данных. Для любой системы, на которой установлены затронутые версии, следует считать ее потенциально скомпрометированной: удалить вредоносную версию и easy-day-js, удалить node_modules и кэш пакетов, переустановить известные чистые версии (с использованием проверенных файлов блокировок), изолировать затронутые хосты, сохранить журналы, удалить следы постоянства и сменить учетные данные для npm, GitHub, облачных сервисов, SSH/Git, CI/CD и кошельков, если они могли быть скомпрометированы. (Источник: Foresight News)
Более 140 пакетов Mastra npm стали целью атаки цепочки поставок
KuCoinFlashПоделиться
Сводка
Более 140 пакетов Mastra npm были затронуты в атаке на цепочку поставок, согласно MetaEra и SlowMist. Зловредный easy-day-js@1.11.22 внедряется в качестве зависимости, позволяя выполнять код и красть данные. Злоумышленники могут получить доступ к данным в цепочке, украсть историю браузера и обнаружить криптокошельки. Системы, использующие затронутые версии, должны удалить пакет, очистить node_modules и кэши, переустановить проверенные версии, изолировать хосты и сменить учетные данные. Сценарий атаки с 51% мощностью маловероятен, но возможен, если учетные данные или ключи CI были раскрыты. Логи следует сохранить для расследования.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.