ME News повідомляє, що 17 червня (UTC+8) за даними моніторингу SlowMist, відбувається координована атака на ланцюжок постачання, що стосується більше ніж 140 пакетів npm. Під впливом пакети автоматично додають залежність від easy-day-js@^1.11.21, яка автоматично розширюється до шкідливого варіанту easy-day-js@1.11.22, що запускає код, підконтрольний атакувачу, через хуки під час встановлення. Потенційні дії атакувача включають: виконання коду під час встановлення, збереження стійкості на Windows/macOS/Linux, збір історії браузера, інвентаризацію розширень гаманців криптовалют, експозицію облікових даних або CI-ключів через подальші дії, а також витік даних. Для будь-якої системи, на якій були встановлені вразливі версії, слід вважати її потенційно скомпрометованою: видалити шкідливу версію та easy-day-js, видалити node_modules та кеш пакетів, повторно встановити відомі чисті версії (з використанням перевіреного файлу блокування), ізольовувати заражені хости, зберігати журнали, видаляти сліди стійкості та змінювати облікові дані npm, GitHub, хмарних сервісів, SSH/Git, CI/CD та пов’язані з гаманцями, якщо вони могли бути виставлені на ризик. (Джерело: Foresight News)
Більше ніж 140 пакетів Mastra npm були ціллю атаки ланцюга постачання
KuCoinFlashПоділитися
Короткий зміст
Більше 140 пакетів Mastra npm були зачеплені в атакі на ланцюг постачання, згідно з MetaEra та SlowMist. Зловмисний easy-day-js@1.11.22 впроваджує себе як залежність, дозволяючи виконання коду та крадіж даних. Зловмисники можуть отримати доступ до даних у ланцюжку, вкрасти історію браузера та виявити крипто-гаманці. Системи, що використовують вразливі версії, повинні видалити пакет, очистити node_modules та кеші, переустановити перевірені версії, ізольовувати хости та змінити облікові дані. Сценарій атаки 51% малоймовірний, але можливий, якщо облікові дані або ключі CI виявляться відкритими. Логи слід зберегти для розслідування.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.