jscrambler 8.14.0 u npm-u sadrži zlonamerni preinstall hook i infostealer za CI/CD

jscrambler 8.14.0 u npm-u sadrži zlonamerni preinstall hook i infostealer za CI/CD
Kolege, želim da skrenem pažnju na incident u oblasti sajber bezbednosti: u npm izdanju jscrambler 8.14.0 otkriven je zlonamerni preinstall hook.
Ovde vidim klasičan napad na lanac snabdevanja: instalacija paketa već pokreće Rust infostealer za Windows, macOS i Linux.
Prikuplja cloud ključeve, tokene, lozinke, kolačiće, sesije glasnika i podatke AI alata.
Ako ste mogli da instalirate 8.14.0, smatrajte da su tajne kompromitovane: proverite lockfile-ove, CI/CD logove i opozovite ključeve.
Zašto je ovo važno: ovakvi napadi direktno pogađaju gradivna okruženja i daju pristup najvrednijim podacima.
Kako Vi trenutno proveravate npm zavisnosti u lancu snabdevanja?
#sajberbezbednost #npm #lanacsnabdevanja #devsecops


Poslednji komentari
Još nema komentara.