VMTech
+381 11 4183 54024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Скомпрометированные npm-пакеты AsyncAPI: атака через CI/CD и загрузчик Miasma

Kompromitovani npm paketi AsyncAPI: napad kroz CI/CD i učitavač Miasma

Kompromitovani npm paketi AsyncAPI: napad kroz CI/CD i učitavač Miasma

Kolege, želim da skrenem pažnju na incident iz oblasti sajber bezbednosti: u npm su otkriveni kompromitovani paketi @asyncapi.

Važan detalj: zlonamerne verzije objavljene su kroz legitimni GitHub Actions release pipeline sa trusted-publisher/OIDC, a ne kroz ukradeni npm token.

Kod se ne aktivira pri install; pokreće se pri require() i startuje višestepeni učitavač povezan sa Miasma.

Sve zlonamerne verzije su već opozvane, ali svaki host na kome su se ovi paketi učitali ili izvršili treba smatrati potencijalno kompromitovanim.

Zašto je to važno: napadi na supply chain sve češće zaobilaze uobičajene provere i pogađaju buildove, CI/CD i razvojna okruženja.

Kako Vi procenjujete rizike trusted publisher modela u svojim procesima?

#sajberbezbednost #lanacsnabdevanja #npm #CI_CD

Актуальные показатели
0Просмотры
0Охват
0Лайки
0Комментарии
0Сохранения
0Репосты

Последние комментарии

Комментариев пока нет.

Instagram

Скомпрометированные npm-пакеты AsyncAPI: атака через CI/CD и загрузчик Miasma

Открыть публикацию в Instagram ↗