Colleagues, npm packages under Rollup are disguising themselves as polyfills and stealing developers’ secrets

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera
Kolege, želim da skrenem pažnju na incident u oblasti sajber bezbednosti: u npm-u su otkriveni zlonamerni paketi koji se maskiraju kao Rollup polyfills.
Izdvajam nekoliko zabrinjavajućih tačaka:
- paketi kopiraju naziv, opis i metapodatke legitimnog projekta;
- u sebi imaju drugu fazu učitavanja i skriveno pokretanje koda prilikom instalacije;
- malware proverava okruženje i trudi se da se ne pokrene u sandboxu, CI i cloud dev okruženjima;
- rezultat je krađa tokena, SSH ključeva, cloud kredencijala, podataka iz pregledača i novčanika, uz udaljeni pristup.
Zašto je ovo važno: ovakve zavisnosti često dospevaju na radne stanice i u build pipeline-ove, gde se nalaze najvrednije tajne.
Da li već revidirate zavisnosti i uključujete proveru supply chain-a u CI/CD?
#sajberbezbednost #npm #SupplyChain #DevSecOps


Latest comments
No comments yet.