VMTech
+381 11 4183 54024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Коллеги, npm-пакеты под Rollup маскируются под polyfills и воруют секреты разработчиков

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, želim da skrenem pažnju na incident u oblasti sajber bezbednosti: u npm-u su otkriveni zlonamerni paketi koji se maskiraju kao Rollup polyfills.

Izdvajam nekoliko zabrinjavajućih tačaka:
- paketi kopiraju naziv, opis i metapodatke legitimnog projekta;
- u sebi imaju drugu fazu učitavanja i skriveno pokretanje koda prilikom instalacije;
- malware proverava okruženje i trudi se da se ne pokrene u sandboxu, CI i cloud dev okruženjima;
- rezultat je krađa tokena, SSH ključeva, cloud kredencijala, podataka iz pregledača i novčanika, uz udaljeni pristup.

Zašto je ovo važno: ovakve zavisnosti često dospevaju na radne stanice i u build pipeline-ove, gde se nalaze najvrednije tajne.

Da li već revidirate zavisnosti i uključujete proveru supply chain-a u CI/CD?
#sajberbezbednost #npm #SupplyChain #DevSecOps

Актуальные показатели
0Просмотры
0Охват
0Лайки
0Комментарии
0Сохранения
0Репосты

Последние комментарии

Комментариев пока нет.

Instagram

Коллеги, npm-пакеты под Rollup маскируются под polyfills и воруют секреты разработчиков

Открыть публикацию в Instagram ↗