VMTech
+381 11 4183 54024/7 Discuss a project
← All Instagram insights VMTECH · INSTAGRAM

Colleagues, npm packages under Rollup are disguising themselves as polyfills and stealing developers’ secrets

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, želim da skrenem pažnju na incident u oblasti sajber bezbednosti: u npm-u su otkriveni zlonamerni paketi koji se maskiraju kao Rollup polyfills.

Izdvajam nekoliko zabrinjavajućih tačaka:
- paketi kopiraju naziv, opis i metapodatke legitimnog projekta;
- u sebi imaju drugu fazu učitavanja i skriveno pokretanje koda prilikom instalacije;
- malware proverava okruženje i trudi se da se ne pokrene u sandboxu, CI i cloud dev okruženjima;
- rezultat je krađa tokena, SSH ključeva, cloud kredencijala, podataka iz pregledača i novčanika, uz udaljeni pristup.

Zašto je ovo važno: ovakve zavisnosti često dospevaju na radne stanice i u build pipeline-ove, gde se nalaze najvrednije tajne.

Da li već revidirate zavisnosti i uključujete proveru supply chain-a u CI/CD?
#sajberbezbednost #npm #SupplyChain #DevSecOps

Current metrics
0Views
0Reach
0Likes
0Comments
0Saved
0Shares

Latest comments

No comments yet.

Instagram

Colleagues, npm packages under Rollup are disguising themselves as polyfills and stealing developers’ secrets

Open the post on Instagram ↗