ChainCatcher повідомляє, що за даними慢雾, у недавній час було здійснено поставочну атаку Mini Shai-Hulud «міні-шай-хулуд» на кілька високочастотних npm-пакетів, зокрема AntV та Echarts-for-react, а також Python SDK durabletask. Аккаунт npm atool було скомпрометовано, і нападник за 22 хвилини автоматично опублікував 637 зловмисних версій, що стосуються 317 пакетів. За 35 хвилин нападник послідовно завантажив версії durabletask 1.4.1, 1.4.2 та 1.4.3, обійшовши нормальні контролі публікації та видаючи себе за офіційний реліз Microsoft. Масштабна витік GitHub token та атака вимоги на Grafana Labs, ймовірно, пов’язані з цією поставочною атакою. Під впливом опинилися компоненти, такі як AntV, Echarts-for-react у екосистемі npm та Python-пакети durabletask 1.4.1, 1.4.2 та 1.4.3. Нападник може красти хмарні та локальні облікові дані, отримувати неавторизований доступ до внутрішніх репозиторіїв та чутливих хмарних інфраструктур, переміщуватися поперек до розробницьких машин та CI/CD-каналів, продавати та використовувати викрадені GitHub token, здійснювати вимоги та загрози витоку даних.慢雾 рекомендує негайно змінити всі скомпрометовані облікові дані, замінити заражені пакети, ізольовувати потенційно заражені системи та впровадити строгу політику перевірки залежностей. Раніше повідомлялося, що черв’як «міні-шай-хулуд» недавно заражав велику кількість відкритих кодових репозиторіїв, і розробникам слід уважно перевірити свої системи.
Атака на ланцюжок постачання Mini Shai-Hulud пов’язана з інцидентами безпеки GitHub і Grafana
ChaincatcherПоділитися
Короткий зміст
Зростання індексу страху та жадібності співпало з атакою на ланцюжок постачання, пов’язаною з черв’яком Mini Shai-Hulud, який націлений на npm-пакети, такі як AntV, Echarts-for-react та durabletask. Зловмисники скомпрометували акаунт 'atool' і опублікували 637 шкідливих версій за 22 хвилини. Ця порушення, пов’язана з витоками токенів GitHub та інцидентом з шифрувальником Grafana, дозволяє красти облікові дані, експлуатувати CI/CD та здійснювати боковий рух. Безпекові компанії закликають змінювати облікові дані та перевіряти залежності. На тлі зростання волатильності альткоїни, за якими слід стежити, можуть зазнавати додаткового тиску через такі загрози.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.