PANews a posté sur X (anciennement Twitter) que le composant open-source echarts-for-react, qui affiche un taux de téléchargement hebdomadaire de 1,1 million, a récemment été compromis avec du code malveillant. L'incident a également touché des centaines de paquets sous la suite de visualisation de données d'Alibaba, AntV. La violation a eu lieu après que le compte développeur 'atool' a été piraté, permettant aux attaquants d'insérer du code obfusqué dans les composants sous-jacents. La version infectée 3.2.7 a été publiée pendant seulement 19 minutes avant que les analyses de vulnérabilité ne l'alertent. Le code malveillant, nommé 'Mini Shai-Hulud', a fait chuter le score de sécurité de la chaîne d'approvisionnement à zéro. Le directeur de la sécurité de l'information de SlowMist, 23pds, a partagé le post et a conseillé aux développeurs de procéder à des vérifications approfondies.
Article
Code Malveillant Trouvé dans le Composant Open Source Populaire Echarts-for-React
--・
Avertissement : comprend des opinions de tiers. Il ne s’agit pas d’un conseil financier. Peut inclure du contenu sponsorisé. Consultez les CG.