Trang chủ
Tin tức
Chi tiết

Cuộc tấn công chuỗi cung ứng npm đang nhắm vào các gói dịch vụ đám mây Red Hat, hơn 300 kho lưu trữ GitHub bị ảnh hưởng

icon MarsBit
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Một cuộc tấn công tái nhập đã được xác định trong vụ vi phạm chuỗi cung ứng npm đang hoạt động nhắm vào các gói @redhat-cloud-services. Hơn 31 gói bị ảnh hưởng, với 116.000 lượt tải xuống mỗi tuần. Hơn 300 kho GitHub chứa thông tin xác thực bị đánh cắp. Kẻ tấn công sử dụng dữ liệu trên chuỗi để tự động hóa việc rò rỉ bí mật và tạo các kho độc hại. Các rủi ro bao gồm đánh cắp token, thông tin xác thực đám mây và phơi bày khóa SSH. Các nhà phát triển nên kiểm tra các phụ thuộc, đổi khóa và xây dựng lại các hệ thống bị xâm phạm. Các kho độc hại mới tiếp tục xuất hiện, cho thấy cuộc tấn công vẫn đang diễn ra.

The Huoxing Finance report states that on June 2, SlowMist issued a security alert detecting an active npm supply chain attack targeting packages related to @redhat-cloud-services. To date, over 31 packages have been confirmed as compromised, with approximately 116,000 weekly downloads, and stolen credentials have been found in over 300 GitHub repositories. The attack technique closely resembles the previous "Shai-Hulud" npm attack, including credential theft, creation of malicious repositories, and automated secret exfiltration. New suspicious repositories continue to emerge, indicating the attack is still ongoing and developers remain continuously infected. Potential impacts include theft of GitHub/npm tokens, exposure of AWS/GCP/Azure cloud credentials, collection of SSH keys and Kubernetes secrets, leakage of local environment and wallet data, creation and persistence of malicious repositories, and even destructive actions triggered after token revocation. It is recommended to immediately remove or downgrade the affected @redhat-cloud-services package versions, conduct a comprehensive audit of CI/CD workflows and dependency installations, rotate all keys related to GitHub, npm, cloud services, SSH, and wallets, retain logs, and rebuild compromised developer machines or Runners from clean images, while maintaining heightened vigilance.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.