VMTech
+381 11 4183 54024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Packagist: zlonamerni Linux-binar u 8 paketa preko package.json

Kolege, želim da skrenem pažnju: u sajber bezbednosti otkrivena je kampanja koja je pogodila osam paketa na Packagist.

Socket izveštava da je u package.json dodat postinstall koji preuzima Linux-binar sa GitHub Releases, sprema ga u /tmp/.sshd, postavlja dozvole i pokreće, isključujući proveru TLS. Inficirane verzije su uklonjene.

Napad je kros‑ekosistemski: payload se pojavljuje u mnogim repozitorijumima i workflow-ima, pa zaobilazi skenere fokusirane samo na Composer.

Zašto je to važno: moguće je udaljeno izvršavanje koda pri instalaciji ili u CI.

Preporučujem da proveravate package.json, lifecycle skripte i workflow-e, zaključavate verzije i blokirate postinstall.

Kako Vi jačate zaštitu lanaca snabdevanja?

#sajberbezbednost #lanacsnabdevanja #DevSecOps #OpenSource

Актуальные показатели
4Просмотры
2Охват
0Лайки
0Комментарии
0Сохранения
0Репосты

Последние комментарии

Комментариев пока нет.

Instagram

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Открыть публикацию в Instagram ↗