VMTech
+381 11 4183 54024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Kolege, želim da skrenem pažnju na incident u oblasti sajber bezbednosti: u npm-u su otkriveni zlonamerni paketi koji se maskiraju kao Rollup polyfills.

Izdvajam nekoliko zabrinjavajućih tačaka:
- paketi kopiraju naziv, opis i metapodatke legitimnog projekta;
- u sebi imaju drugu fazu učitavanja i skriveno pokretanje koda prilikom instalacije;
- malware proverava okruženje i trudi se da se ne pokrene u sandboxu, CI i cloud dev okruženjima;
- rezultat je krađa tokena, SSH ključeva, cloud kredencijala, podataka iz pregledača i novčanika, uz udaljeni pristup.

Zašto je ovo važno: ovakve zavisnosti često dospevaju na radne stanice i u build pipeline-ove, gde se nalaze najvrednije tajne.

Da li već revidirate zavisnosti i uključujete proveru supply chain-a u CI/CD?
#sajberbezbednost #npm #SupplyChain #DevSecOps

Aktuelni pokazatelji
0Pregledi
0Doseg
0Sviđanja
0Komentari
0Sačuvano
0Deljenja

Poslednji komentari

Još nema komentara.

Instagram

Kolege, npm paketi pod Rollup maskiraju se kao polyfills i kradu tajne developera

Otvorite objavu na Instagramu ↗