Скомпрометированные npm-пакеты AsyncAPI: атака через CI/CD и загрузчик Miasma

Kompromitovani npm paketi AsyncAPI: napad kroz CI/CD i učitavač Miasma
Kolege, želim da skrenem pažnju na incident iz oblasti sajber bezbednosti: u npm su otkriveni kompromitovani paketi @asyncapi.
Važan detalj: zlonamerne verzije objavljene su kroz legitimni GitHub Actions release pipeline sa trusted-publisher/OIDC, a ne kroz ukradeni npm token.
Kod se ne aktivira pri install; pokreće se pri require() i startuje višestepeni učitavač povezan sa Miasma.
Sve zlonamerne verzije su već opozvane, ali svaki host na kome su se ovi paketi učitali ili izvršili treba smatrati potencijalno kompromitovanim.
Zašto je to važno: napadi na supply chain sve češće zaobilaze uobičajene provere i pogađaju buildove, CI/CD i razvojna okruženja.
Kako Vi procenjujete rizike trusted publisher modela u svojim procesima?
#sajberbezbednost #lanacsnabdevanja #npm #CI_CD


Последние комментарии
Комментариев пока нет.